Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.5.4: Rekords van PII-bekendmakings aan derde partye

Beheer A.2.5.4 vereis dat organisasies openbaarmakings van PII aan derde partye moet aanteken, insluitend watter PII openbaar gemaak is, aan wie en wanneer. Dit skep 'n ouditeerbare spoor van alle data-delingsaktiwiteite van derde partye.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.5.4?

Die organisasie moet openbaarmakings van PII aan derde partye aanteken, insluitend watter PII openbaar gemaak is, aan wie en wanneer.

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek aanspreeklikheid vir die deel van data deur derde partye aan. Elke keer as 'n verwerker persoonlike inligting aan 'n derde party openbaar maak, hetsy aan 'n subkontrakteur, 'n regsowerheid, 'n ouditeur of enige ander ontvanger, moet 'n rekord geskep word. Hierdie rekord moet die omvang van die openbaar gemaak data, die identiteit van die ontvanger en die datum van openbaarmaking vasvang.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.5.4) verskaf die volgende riglyne:

  • Normale operasies — Rekords van openbaarmakings wat tydens normale verwerkingsbedrywighede gemaak is, soos oordragte aan subkontrakteurs of data-terugsendings aan kliënte
  • Nie-roetine openbaarmakings — Teken ook bykomende openbaarmakings aan wat voortspruit uit regsondersoeke of eksterne oudits
  • Bron en gesag — Rekords moet die bron van die openbaarmaking (wie dit geïnisieer het) en die bron van magtiging (watter wetlike of kontraktuele basis dit gemagtig het) insluit.
  • Sien ook A.2.5.2: Basis vir PII-oordrag tussen jurisdiksies vir verwante vereistes
  • Sien ook A.2.5.8: Aanstelling van 'n subkontrakteur om persoonlike inligting te verwerk vir verwante vereistes

Die riglyne maak dit duidelik dat openbaarmakingsrekords beide roetine- en nie-roetine-openbaarmakings moet dek. Roetine-openbaarmakings sluit gereelde data-oordragte aan subkontrakteurs in as deel van normale verwerking. Nie-roetine-openbaarmakings sluit in reaksies op versoeke om wettige gesag, toegang tot eksterne oudits en enige ander ad hoc-deling van persoonlike inligting met derde partye.

Hoe pas dit by die GDPR?

Beheer A.2.5.4 karteer na die volgende BBP Artikel:

  • Artikel 30(1)(d) — Die rekord van verwerkingsaktiwiteite moet die kategorieë ontvangers bevat aan wie die persoonlike data bekend gemaak is of sal word, insluitend ontvangers in derde lande of internasionale organisasies.

Terwyl BBP Artikel 30 vereis rekords van kategorieë ontvangers, ISO 27701 A.2.5.4 gaan verder deur rekords van spesifieke openbaarmakings te vereis, insluitend presies watter PII openbaar gemaak is, aan watter spesifieke ontvanger en op watter datum. Dit bied 'n meer gedetailleerde ouditspoor as die minimum GDPR-vereiste.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.4 as 'n alleenstaande beheermaatreël met implementeringsriglyne in B.2.5.4 wat spesifiek die opname van nie-roetine-openbaarmakings uit regsondersoeke en eksterne oudits aanspreek, en vereis dat rekords die bron van openbaarmaking en gesag insluit. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.5.4 beoordeel word, sal ouditeure tipies kyk na:

  • Openbaarmakingsregister — 'n Gehoue ​​register of logboek van alle PII-bekendmakings aan derde partye, met inskrywings vir elke bekendmakingsgebeurtenis.
  • Rekord volledigheid — Elke rekord moet die volgende insluit: die kategorieë of spesifieke items van PII wat bekend gemaak is, die identiteit van die ontvanger, die datum en tyd van bekendmaking, die bron van die bekendmaking (wie dit geïnisieer het) en die gesag vir die bekendmaking (regsbasis of kontraktuele bepaling)
  • Roetine- en nie-roetine-dekking — Bewyse dat die register beide roetine-operasionele openbaarmakings (soos oordragte van subkontrakteurs) en nie-roetine-openbaarmakings (soos versoeke om wettige magtiging en toegang tot oudits) dek.
  • Bewaring van rekords — Openbaarmakingsrekords word behou vir die tydperk wat deur toepaslike wetgewing en die kliëntkontrak vereis word
  • Kliënte verslagdoening — Bewyse dat openbaarmakingsrekords op versoek aan kliënte verskaf kan word, wat hulle in staat stel om hul eie deursigtigheidsverpligtinge na te kom

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.5.5 Kennisgewing van versoeke om PII-openbaarmaking Kliënte moet in kennis gestel word van wetlik bindende openbaarmakingsversoeke, wat ook aangeteken moet word
A.2.5.6 Wetlik bindende PII-openbaarmakings Wetlik bindende openbaarmakings moet aangeteken word by die wettige gesag wat hulle verplig het
A.2.5.7 Openbaarmaking van subkontrakteurs Openbaarmakings deur subkontrakteurs is 'n kategorie van openbaarmakings deur derde partye wat rekords vereis.
A.2.2.7 Rekords van verwerking Openbaarmakingsrekords vorm deel van die breër verwerkingsrekords
A.2.5.3 Lande vir PII-oordrag Bekendmakings aan ontvangers in ander lande moet die landregister kruisverwys.

Op wie is hierdie beheer van toepassing?

A.2.5.4 is uitsluitlik van toepassing op PII-verwerkersVerwerkers maak gereeld persoonlike inligting (PII) aan derde partye bekend as deel van hul bedrywighede, hetsy deur subkontrakteursreëlings, data-terugsendings aan kliënte, reaksies op regsowerhede of eksterne oudittoegang. Sonder 'n sistematiese rekord van hierdie openbaarmakings kan nóg die verwerker nóg die beheerder aanspreeklikheid toon vir hoe PII gedeel is.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir PII-openbaarmakingsopsporing?

ISMS.aanlyn bied praktiese gereedskap vir die opneem en bestuur van PII-openbaarmakings:

  • Openbaarmakingsregister — Handhaaf 'n gesentraliseerde register van alle PII-bekendmakings met gestruktureerde velde vir PII-kategorieë, ontvangeridentiteit, datum, bron en gesag
  • Outomatiese logging — Skep openbaarmakingsrekords vanaf werkvloei-snellers, en verseker dat roetine-openbaarmakings sistematies vasgelê word sonder handmatige ingryping.
  • Outoriteitsopsporing — Koppel elke openbaarmaking aan sy regsgrondslag of kontraktuele bepaling, wat aantoon dat elke openbaarmaking gemagtig was
  • Kliënte verslagdoening — Genereer openbaarmakingsverslae vir individuele kliënte, wat alle openbaarmakings van hul persoonlike inligting aan derde partye toon
  • Ouditgereedheid — Bied openbaarmakingsrekords in 'n gestruktureerde formaat aan vir interne en eksterne oudits, met filters volgens datum, ontvanger, PII-kategorie en gesag.

Vrae & Antwoorde

Wat tel as 'n openbaarmaking aan 'n derde party?

'n Openbaarmaking vind plaas wanneer PII beskikbaar gestel word aan 'n entiteit buite die organisasie. Dit sluit in: oordragte aan subkontrakteurs vir verwerking; data-terugsendings aan die kliënt (die beheerder); reaksies op versoeke om wettige gesag; toegang wat aan eksterne ouditeure verskaf word; deling met ander verwerkers of beheerders; en enige ander situasie waar PII die organisasie se beheer verlaat. Interne oordragte tussen departemente of stelsels binne die organisasie is nie openbaarmakings deur derde partye nie, maar oordragte na afsonderlike regsentiteite binne 'n groep kan wel wees.

Hoe gedetailleerd moet openbaarmakingsrekords wees?

Rekords moet ten minste die volgende bevat: watter PII openbaar gemaak is (kategorieë of spesifieke data-elemente); aan wie (die spesifieke ontvanger-organisasie); wanneer (datum en tyd); wie die openbaarmaking geïnisieer het; en die gesag waaronder dit gemaak is (kontrakklousule, wetlike vereiste of kliëntinstruksie). Vir nie-roetine-openbaarmakings soos versoeke om wettige gesag, moet bykomende besonderhede die verwysingsnommer van die versoek, die spesifieke wetlike bepaling wat aangehaal word en enige beperkings op die kennisgewing van die kliënt insluit.

Hoe lank moet openbaarmakingsrekords bewaar word?

Bewaringstydperke vir openbaarmakingsrekords moet ooreenstem met die toepaslike wetgewing oor databeskerming (GDPR spesifiseer nie 'n tydperk nie, maar vereis dat rekords op versoek aan die toesighoudende owerheid beskikbaar moet wees), die kliëntkontrak (wat 'n bewaringstydperk kan spesifiseer) en die organisasie se eie bewaringsbeleid. 'n Algemene benadering is om openbaarmakingsrekords te bewaar vir die duur van die verwerkingsverhouding plus 'n tydperk wat voldoende is om potensiële regseise te dek (gewoonlik 6 jaar in die VK). Rekords moet nie vernietig word terwyl enige verwante ondersoek of dispuut aan die gang is nie.

ons gids vir vereistes vir ouditbewyse dek die openbaarmakingsdokumentasie wat ouditeure vereis.

sien ons verskaffer evalueringsgids vir hoe kliënte verwerker se openbaarmakingspraktyke beoordeel.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.