Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.4.3: Terugbesorging, Oordrag of Beskikking van PII

Beheer A.2.4.3 vereis dat organisasies in staat moet wees om persoonlike inligting (PII) op 'n veilige manier terug te besorg, oor te dra of daarvan ontslae te raak en hul beskikkingsbeleid aan die kliënt beskikbaar te stel. Dit verseker dat PII nie langer as die einde van 'n verwerkingsverhouding voortduur nie.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.4.3?

Die organisasie moet in staat wees om persoonlike inligting op 'n veilige manier terug te besorg, oor te dra of daarvan ontslae te raak. Dit moet ook sy beleid aan die kliënt beskikbaar stel.

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek aan wat met persoonlike inligting (PII) gebeur aan die einde van 'n verwerkingsverhouding. Wanneer 'n kontrak eindig, moet die verwerker in staat wees om die data aan die beheerder terug te besorg, dit na 'n ander verwerker oor te dra of dit veilig te verwyder. Die verwerker se beleid vir die hantering van data aan die einde van die kontrak moet deursigtig en beskikbaar wees vir die kliënt.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.4.3) verskaf die volgende riglyne:

  • Veelvuldige opsies — Datahantering aan die einde van die kontrak kan die terugbesorging van persoonlike inligting aan die kliënt, die oordrag daarvan na 'n ander organisasie, die verwydering daarvan, die de-identifikasie daarvan of die argivering daarvan behels.
  • Omvattende uitwissing — Die organisasie moet versekering gee dat persoonlike inligting (PII) oral uitgevee word, insluitend rugsteun, sodra dit nie meer vir die oorspronklike doel nodig is nie.
  • Beskikkingsbeleid — Die organisasie moet 'n wegdoeningsbeleid ontwikkel en dit aan kliënte beskikbaar stel
  • Behoud na beëindiging — Die beskikkingsbeleid moet die bewaringstydperk na die beëindiging van die kontrak dek, en spesifiseer hoe lank data behou sal word voor finale beskikking.
  • Sien ook A.2.4.4: PII-oordragkontroles vir verwante vereistes

Die riglyne beklemtoon volledigheid. Dit is onvoldoende om PII uit produksiestelsels te verwyder terwyl kopieë in rugsteun gelaat word. Die verwerker moet verseker dat alle kopieë van die PII, insluitend dié in rugsteunstelsels, rampherstelomgewings en geargiveerde berging, binne die gedokumenteerde bewaringstydperk geïdentifiseer en vernietig word.

Hoe pas dit by die GDPR?

Beheer A.2.4.3 karteer na die volgende BBP artikels:

  • Artikel 28(3)(g) — Die verwerker moet, na keuse van die beheerder, alle persoonlike data aan die beheerder uitvee of terugbesorg na die einde van die verskaffing van dienste en bestaande kopieë uitvee, tensy die wetgewing van die Unie of die lidstaat berging vereis.
  • Artikel 30(1)(f) — 'n Algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls, insluitend dié vir data-beskikking

BBP Artikel 28(3)(g) gee die beheerder die reg om te kies tussen die verwydering en terugbesorging van data. Die verwerker moet beide opsies ondersteun. Die enigste uitsondering is waar Unie- of lidstaatwetgewing vereis dat die verwerker sekere data moet behou, in welke geval die regsgrondslag vir bewaring gedokumenteer moet word.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.4.3 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.4.3 wat spesifiek die uitwissing van rugsteun, beleidsdeursigtigheid en bewaringsperiodes na beëindiging aanspreek. Die eksplisiete vereiste om die beskikkingsbeleid aan kliënte beskikbaar te stel, is 'n noemenswaardige klem. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.4.3 beoordeel word, sal ouditeure tipies kyk na:

  • Gedokumenteerde wegdoeningsbeleid — ’n Skriftelike beleid wat die terugbesorging, oordrag en wegdoening van persoonlike inligting dek, insluitend metodes vir veilige verwydering, de-identifikasie en argivering.
  • Kliëntbeskikbaarheid — Bewyse dat die beskikkingsbeleid aan kliënte beskikbaar gestel is, hetsy deur kontraktuele aanhangsels, kliënteportale of direkte voorsiening
  • Prosedures na beëindiging — Gedokumenteerde prosedures vir die hantering van persoonlike inligting na kontrakbeëindiging, insluitend gedefinieerde bewaringsperiodes en die volgorde van terugbesorging-, oordrag- en beskikkingsstappe
  • Rugsteunuitwissingvermoë — Bewyse dat die organisasie persoonlike inligting (PII) kan identifiseer en uitvee vanaf rugsteunstelsels, rampherstelomgewings en geargiveerde berging.
  • Beskikkingsrekords — Rekords van vorige PII-verwyderingsaktiwiteite, insluitend vernietigingsertifikate, bevestiging van data-terugbesorging en bewys van rugsteunuitwissing

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.4.2 Tydelike lêers Tydelike lêerbeskikking is 'n komponent van die breër PII-beskikkingsverpligting
A.2.2.2 Kliëntooreenkoms Die kontrak moet die prosedures vir die terugbesorging, oordrag en wegdoening van data spesifiseer
A.2.3.2 Verpligtinge teenoor PII-hoofde Dataportabiliteit en uitwissingregte koppel aan beskikkingsmoontlikhede
A.2.2.6 Kliëntverpligtinge Beskikkingsbeleide is deel van die nakomingsinligting wat aan kliënte verskaf word.
A.2.5.8 Aanstelling van subkontrakteurs Subkontrakteurs moet ook voldoen aan die vereistes vir die verwydering van persoonlike inligting (PII).

Op wie is hierdie beheer van toepassing?

A.2.4.3 is uitsluitlik van toepassing op PII-verwerkersAan die einde van 'n verwerkingsverhouding benodig die beheerder versekering dat hul data behoorlik hanteer is. Indien die verwerker nie die data kan terugbesorg of veilig kan verwyder nie, staar die beheerder 'n voortdurende nakomingsrisiko in die gesig. Hierdie beheer verseker dat verwerkers beide die vermoë en die gedokumenteerde prosedures het om databestuur aan die einde van die kontrak te hanteer.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van PII-verwydering?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van PII-terugbesorging, -oordrag en -verwydering:

  • Beleidsbestuur — Skep en onderhou u PII-verwyderingsbeleid met weergawebeheer, goedkeuringswerkvloeie en outomatiese hersieningskedules, om te verseker dat dit op datum bly
  • Kontrakopsporing — Spoor wegdoeningsverpligtinge per kliëntkontrak op, insluitend bewaringsperiodes na beëindiging en die kliënt se gekose wegdoeningsmetode
  • Werkvloei vir weggooi — Bestuur die verwydering van data aan die einde van die kontrak met gestruktureerde werkvloeie wat produksiestelsels, rugsteun, rampherstel en geargiveerde berging insluit.
  • Bewysbestuur — Berg wegdoeningsertifikate, terugbevestigings en rugsteunbewyse van uitwissing as gestruktureerde ouditrekords.
  • Nakomingskartering — Koppel wegdoeningsprosedures aan GDPR Artikel 28(3)(g) en verwante ISO 27701-beheermaatreëls, wat 'n omvattende benadering demonstreer

Vrae & Antwoorde

Hoe raak jy ontslae van PII in rugsteunstelsels?

Die verwydering van PII uit rugsteun is een van die mees uitdagende aspekte van hierdie beheer. Opsies sluit in: om rugsteunbande natuurlik binne 'n gedefinieerde rotasieperiode te laat verval (wat die maksimum bewaringstyd dokumenteer); die gebruik van rugsteunstelsels wat die gedetailleerde verwydering van individuele rekords ondersteun; die enkripsie van PII met kliëntspesifieke sleutels en die vernietiging van die sleutel aan die einde van die kontrak; of die implementering van 'n rugsteun-uitsluitingsbeleid wat verhoed dat PII na die verwyderingsaanvang gerugsteun word. Die gekose benadering moet in die verwyderingsbeleid gedokumenteer en aan die kliënt gekommunikeer word.

Wat as wetlike vereistes wegdoening verhoed?

Artikel 28(3)(g) van die AVG laat verwerkers toe om persoonlike data te behou na die beëindiging van die kontrak indien die wetgewing van die Unie of die lidstaat dit vereis. Voorbeelde sluit in belastingrekords, finansiële transaksiedata of data wat onderhewig is aan litigasiebewaring. Waar wettige bewaring van toepassing is, moet die verwerker die spesifieke wetlike basis, die omvang van die data wat behou word, die bewaringstydperk en die toegepaste toegangsbeperkings dokumenteer. Die kliënt moet in kennis gestel word van enige wetlik verpligte bewaring wat volledige beskikking aan die einde van die kontrak sal voorkom.

Moet die wegdoeningsbeleid in die kontrak ingesluit word?

Ja. Die wegdoeningsbeleid moet óf as 'n kontraktuele aanhangsel ingesluit word óf in die dataverwerkingsooreenkoms verwys word met 'n meganisme vir die kliënt om toegang tot die huidige weergawe te verkry. Dit verseker dat beide partye ooreengekom het oor die wegdoeningsbenadering voordat die verwerking begin. Die kontrak moet ook die kliënt se reg spesifiseer om te kies tussen terugbesorging en verwydering, enige bewaringstydperk na beëindiging en die formaat waarin data terugbesorg sal word indien versoek.

sien ons gids vir vereistes vir ouditbewyse vir die verwerker-spesifieke bewyse wat ouditeure vereis.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.