Wat vereis beheer A.2.4.2?
Die organisasie moet verseker dat tydelike lêers wat as gevolg van die verwerking van persoonlike inligting geskep word, binne 'n gespesifiseerde, gedokumenteerde tydperk vernietig word (bv. uitgevee of vernietig) volgens gedokumenteerde prosedures.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek 'n privaatheidsrisiko aan wat algemeen oor die hoof gesien word: tydelike lêers. Inligtingstelsels genereer roetinegewys tydelike lêers tydens normale bedrywighede, en hierdie lêers kan persoonlike inligting bevat wat lank nadat die oorspronklike verwerkingstaak voltooi is, voortduur. Sonder gedokumenteerde wegdoeningsprosedures word tydelike lêers 'n onbeheerde bron van persoonlike databewaring.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.4.2) verskaf die volgende riglyne:
- Periodieke verifikasie — Die organisasie moet gereeld verifieer dat ongebruikte tydelike lêers binne die vasgestelde tydperk verwyder word
- Tipes tydelike lêers — Inligtingstelsels skep tydelike lêers in normale werking, insluitend terugroljoernale, databasis tydelike lêers en toepassings tydelike lêers
- Behoud na taakvoltooiing — Tydelike lêers word nie benodig na voltooiing van die taak nie, maar kan soms nie onmiddellik verwyder word nie
- Vullisversameling — ’n Vullisverwyderingsproses moet tydelike lêers identifiseer en aanteken hoe lank sedert elkeen laas gebruik is, wat sistematiese wegdoening moontlik maak
- Sien ook A.2.3.2: Voldoen aan verpligtinge teenoor PII-hoofde vir verwante vereistes
- Sien ook A.2.4.4: PII-oordragkontroles vir verwante vereistes
Die riglyne maak dit duidelik dat organisasies 'n sistematiese benadering tot die bestuur van tydelike lêers benodig. Ad hoc-opruiming is nie voldoende nie. 'n Vullisverwyderingsmeganisme moet gereeld vir tydelike lêers skandeer, hul ouderdom bepaal en dié wat die gedokumenteerde bewaringstydperk oorskry het, weggooi.
Hoe pas dit by die GDPR?
Beheer A.2.4.2 karteer na die volgende BBP Artikel:
- Artikel 5(1)(c) — Dataminimalisering — Persoonlike data moet voldoende, relevant en beperk wees tot wat nodig is in verhouding tot die doeleindes waarvoor dit verwerk word. Die bewaring van persoonlike inligting in tydelike lêers verder as die punt van noodsaaklikheid skend hierdie beginsel direk.
Die beginsel van dataminimalisering vereis dat persoonlike data nie langer as nodig behou word nie. Tydelike lêers wat persoonlike inligting bevat, maar geen deurlopende doel dien nie, verteenwoordig 'n duidelike skending van hierdie beginsel. Outomatiese wegdoeningsmeganismes verseker nakoming deur hierdie lêers sistematies te verwyder.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie beheermaatreël gekoppel aan ISO 27018 A.5.1 en ISO 29151 A.7.2. Die 2025-uitgawe konsolideer hierdie verwysings in 'n alleenstaande beheermaatreël A.2.4.2 met toegewyde implementeringsriglyne in B.2.4.2. Die praktiese vereistes bly konsekwent, maar die 2025-struktuur bied duideliker leiding oor vullisversamelingsmeganismes en periodieke verifikasie. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.4.2 beoordeel word, sal ouditeure tipies kyk na:
- Gedokumenteerde wegdoeningsprosedures — Skriftelike prosedures wat spesifiseer hoe tydelike lêers geïdentifiseer word, die gedokumenteerde bewaringstydperk en die metode van wegdoening (uitwissing of vernietiging)
- Gedefinieerde bewaringsperiodes — 'n Gespesifiseerde, gedokumenteerde tydperk waarbinne tydelike lêers weggedoen moet word nadat hulle nie meer nodig is nie
- Vullisversamelingsmeganismes — Bewyse van outomatiese of geskeduleerde prosesse wat tydelike lêers identifiseer en verwyder, insluitend logboeke wat wys wanneer hierdie prosesse loop
- Periodieke verifikasierekords — Rekords wat aantoon dat die organisasie gereeld kontroleer of ongebruikte tydelike lêers binne die gespesifiseerde tydperk verwyder word
- Stelselvoorraad — 'n Inventaris van stelsels wat tydelike lêers skep wat persoonlike inligting bevat, insluitend die tipes tydelike lêers wat gegenereer word (terugroljoernale, databasis tydelike lêers, toepassings tydelike lêers)
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.4.3 Terugbesorging, oordrag of beskikking van persoonlike inligting | Breër PII-verwyderingsverpligtinge wat tydelike lêerverwydering aanvul |
| A.2.2.2 Kliëntooreenkoms | Die kontrak kan tydelike lêerbewaringsperiodes en vereistes vir die verwydering spesifiseer |
| A.3 Gedeelde sekuriteitskontroles | Sekuriteitsbeheermaatreëls vir databerging en mediahantering is van toepassing op tydelike lêerbestuur |
| A.2.2.7 Rekords van verwerking | Tydelike lêerbeskikking moet as deel van verwerkingsrekords aangeteken word |
| Aanhangsel D GDPR-kartering | Kaarte na BBP Artikel 5(1)(c) oor dataminimalisering |
Op wie is hierdie beheer van toepassing?
A.2.4.2 is uitsluitlik van toepassing op PII-verwerkersVerwerkers skep dikwels tydelike lêers tydens dataverwerkingsaktiwiteite namens beheerders, en hierdie lêers kan kopieë bevat van die persoonlike inligting wat verwerk word. Die beheerder is dalk nie eers bewus daarvan dat hierdie tydelike lêers bestaan nie. Hierdie beheer plaas die verpligting op die verwerker om tydelike lêers sistematies te bestuur en te verwyder, wat verhoed dat persoonlike inligting in oor die hoof gesiene stelselartefakte voortduur.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir tydelike lêerbestuur?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van verpligtinge om tydelike lêers te verwyder:
- Beleidsbestuur — Skep en onderhou gedokumenteerde prosedures vir die verwydering van tydelike lêers met weergawebeheer, goedkeuringswerkvloeie en outomatiese hersieningsherinneringe.
- Bate-voorraad — Karteer stelsels wat tydelike lêers genereer wat persoonlike inligting bevat, en koppel elkeen aan sy gedokumenteerde bewaringstydperk en wegdoeningsmetode
- Taakskedulering — Beplan periodieke verifikasietake om te bevestig dat vullisverwyderingsprosesse aan die gang is en dat tydelike lêers binne die gespesifiseerde tydperk verwyder word.
- Bewyse versameling — Stoor verifikasierekords en vullisverwyderingslogboeke as gestruktureerde ouditbewyse, gereed vir interne of eksterne hersiening
- Beheer kartering — Koppel tydelike lêerkontroles aan verwante ISO 27701-vereistes en GDPR-artikels, wat 'n gesamentlike benadering tot dataminimalisering demonstreer
Vrae & Antwoorde
Watter tipes tydelike lêers bevat tipies persoonlike inligting?
Algemene voorbeelde sluit in tydelike databasistabelle wat tydens navraagverwerking gebruik word, terugroljoernale wat transaksiedata vir hersteldoeleindes stoor, toepassingskaslêers, sessielêers, drukspoellêers, uitvoeropvoerlêers, ETL (onttrek, transformeer, laai) intermediêre lêers en loglêers wat PII tydens verwerking vaslê. Enige stelsel wat PII verwerk, kan tydelike lêers genereer as deel van sy normale werking, dus is 'n omvattende inventaris noodsaaklik.
Hoe lank moet tydelike lêers behou word?
Die standaard vereis 'n "gespesifiseerde, gedokumenteerde tydperk", maar skryf nie 'n spesifieke duur voor nie. Die toepaslike bewaringstydperk hang af van die tipe lêer en die verwerkingskonteks. Terugroljoernale moet moontlik behou word totdat 'n transaksie bevestig is, terwyl toepassingskaslêers veilig kan verwyder word onmiddellik nadat die sessie eindig. Die belangrikste vereiste is dat die tydperk gedokumenteer, geregverdig en konsekwent afgedwing word deur outomatiese vullisverwydering.
Wat is 'n vullisverwyderingsproses in hierdie konteks?
Vullisverwydering verwys na 'n sistematiese proses wat tydelike lêers identifiseer, bepaal hoe lank sedert elkeen laas gebruik is en lêers verwyder wat hul gedokumenteerde bewaringstydperk oorskry het. Dit kan geïmplementeer word deur outomatiese skripte, geskeduleerde take, bedryfstelsel-opruimingsprogramme of toepassingsvlak-opruimingsroetines. Die proses moet gereeld verloop en logboeke lewer wat tydens periodieke verifikasie hersien kan word en aan ouditeure as bewys van voldoening aangebied kan word.
sien ons gids vir vereistes vir ouditbewyse vir die verwerker-spesifieke bewyse wat ouditeure vereis.
