Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.13: Wetlike, statutêre, regulatoriese en kontraktuele vereistes

Beheer A.3.13 vereis dat organisasies alle wetlike, regulatoriese en kontraktuele vereistes wat relevant is tot PII-verwerking identifiseer, dokumenteer en op datum hou. Dit is die voldoeningsbasislyn vir ISO 27701:2025.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.13?

Wetlike, statutêre, regulatoriese en kontraktuele vereistes relevant tot inligtingsekuriteit met betrekking tot PII-verwerking en die organisasie se benadering om aan hierdie vereistes te voldoen, moet gedokumenteer word en hierdie dokumentasie moet op datum gehou word.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en stel 'n fundamentele verpligting vas: jy kan nie aan wetlike vereistes voldoen as jy nie geïdentifiseer het wat hulle is nie. Hierdie beheer verseker dat organisasies 'n lewende register van alle toepaslike verpligtinge en 'n gedokumenteerde benadering vir die nakoming van elkeen byhou.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.13) verskaf die volgende riglyne:

  • Identifiseer potensiële sanksies — Organisasies moet die potensiële wetlike sanksies identifiseer vir die versuim om hul verpligtinge na te kom, insluitend aansienlike boetes wat toesighoudende owerhede kan oplê vir nie-nakoming
  • Internasionale standaarde as kontrakbasis — In sommige jurisdiksies kan internasionale standaarde soos ISO 27701 die basis vorm vir kontraktuele ooreenkomste tussen partye, wat 'n erkende raamwerk vir privaatheidsverpligtinge bied.
  • Sien ook A.3.3: Beleide vir Inligtingsekuriteit vir verwante vereistes
  • Sien ook A.3.4: Inligtingsekuriteitsrolle en -verantwoordelikhede vir verwante vereistes

Die riglyne is doelbewus breed omdat die spesifieke wetlike vereistes geweldig verskil volgens jurisdiksie, bedryfsektor en tipe PII wat verwerk word. Die beginsel is oral dieselfde: ken jou verpligtinge en dokumenteer hoe jy daaraan voldoen.

Hoe pas dit by die GDPR?

Beheer A.3.13 karteer na verskeie BBP artikels:

  • Artikel 5(1)(f) — Integriteits- en vertroulikheidsbeginsel, wat die sekuriteitsvereistes onderlê
  • Artikel 32(1)(d) — 'n Proses vir die gereelde toetsing, assessering en evaluering van die doeltreffendheid van maatreëls
  • Artikel 32 (2) — Beoordeling van die toepaslike vlak van sekuriteit, met inagneming van risiko's wat deur verwerking inhou
  • Artikel 5 (2) — Die aanspreeklikheidsbeginsel, wat vereis dat die beheerder verantwoordelik is vir en voldoening moet demonstreer
  • Artikel 32 (1) (b) — Verseker voortdurende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid

Onder BBP, kan die potensiële boetes vir nie-nakoming tot 4% van die jaarlikse wêreldwye omset of 20 miljoen euro beloop, wat ook al die hoogste is – wat die identifisering van wetlike vereistes 'n besigheidskritieke aktiwiteit maak.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.15.1.1 (identifikasie van toepaslike wetgewing en kontraktuele vereistes) en 6.15.1.5 (regulering van kriptografiese beheermaatreëls). Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.13), wat die omvang verbreed om alle wetlike, statutêre, regulatoriese en kontraktuele vereistes op een plek te dek. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.13 beoordeel word, sal ouditeure tipies kyk na:

  • Regs- en regulatoriese register — 'n Gedokumenteerde register wat alle toepaslike wette, regulasies en kontraktuele verpligtinge met betrekking tot PII-verwerking lys, insluitend jurisdiksie en effektiewe datums
  • Nakomingskartering — Bewyse wat toon hoe elke wetlike vereiste deur die organisasie se beleide, prosedures of beheermaatreëls aangespreek word
  • Hersieningskedule — ’n Gedefinieerde proses vir die hersiening en opdatering van die register wanneer wette verander, nuwe jurisdiksies betree word of nuwe kontrakte onderteken word
  • Sanksiebewustheid — Dokumentasie wat toon dat die organisasie die potensiële gevolge van nie-nakoming verstaan, insluitend finansiële boetes
  • Weergawe geskiedenis — Bewyse dat die dokumentasie aktief onderhou is, nie net een keer geskep en vergeet is nie

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.10 Verskafferooreenkomste Kontraktuele vereistes met verskaffers moet geïdentifiseer en gedokumenteer word
A.3.11 Beplanning van voorvalbestuur Prosedures vir kennisgewing van oortredings moet rekening hou met toepaslike wetlike tydlyne
A.3.16 Nakoming van beleide Gereelde hersienings bevestig dat aan wetlike vereistes in die praktyk voldoen word
A.3.14 Beskerming van rekords Regs- en voldoeningsrekords moet beskerm en gepas bewaar word
A.3.15 Onafhanklike hersiening Onafhanklike oudits kan verifieer dat die kartering van wetlike nakoming akkuraat is

Op wie is hierdie beheer van toepassing?

A.3.13 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders staar tipies 'n breër reeks wetlike verpligtinge in die gesig (databeskermingswette, sektorspesifieke regulasies, kontraktuele verpligtinge teenoor datasubjekte), terwyl verwerkers ook hul eie verpligtinge kragtens verwerkingsooreenkomste en toepaslike wetgewing moet identifiseer. Beide rolle benodig 'n gehandhaafde voldoeningsregister.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die nasporing van wetlike en regulatoriese vereistes?

ISMS.aanlyn bied praktiese gereedskap vir die instandhouding van u nakomingsregister en die demonstrasie van deurlopende bewustheid:

  • Regulatoriese register — Handhaaf 'n gestruktureerde register van alle toepaslike wette, regulasies en kontraktuele vereistes met jurisdiksionele etikettering en effektiewe datums
  • Nakomingskartering — Koppel elke wetlike vereiste aan die spesifieke beleide, beheermaatreëls en bewyse wat voldoening demonstreer
  • Outomatiese hersieningsherinneringe — Stel hersieningsiklusse sodat u register met beplande tussenposes nagegaan word, met taaktoewysings vir opdaterings
  • Veranderings bestuur — Volg wetgewende veranderinge en nuwe kontraktuele verpligtinge met weergawegeskiedenis en ouditspoor
  • Multi-raamwerkbelyning — Karteer wetlike vereistes oor ISO 27701, ISO 27001, GDPR en ander raamwerke in 'n enkele aansig

Vrae & Antwoorde

Hoe gereeld moet die wetlike vereistesregister hersien word?

Die standaard vereis dat dokumentasie op datum gehou word. Organisasies moet ten minste die register jaarliks ​​hersien en wanneer 'n beduidende verandering plaasvind – soos om 'n nuwe jurisdiksie te betree, 'n nuwe produk te loods wat persoonlike inligting verwerk, of wanneer relevante wetgewing gewysig word. Deur hersienings aan bestuursoorsigsiklusse te koppel, help dit om te verseker dat hulle konsekwent plaasvind.

Kan ISO 27701-sertifisering aan kontraktuele nakomingsverpligtinge voldoen?

Die implementeringsriglyne wys daarop dat internasionale standaarde soos ISO 27701 in sommige jurisdiksies die basis vir kontraktuele ooreenkomste kan vorm. Terwyl sertifisering 'n robuuste privaatheidsbestuurstelsel demonstreer, kan individuele kontrakte addisionele vereistes bo en behalwe die standaard stel. Elke kontraktuele verpligting moet op sy eie meriete beoordeel word en in die voldoeningsregister ingesluit word.

Wat is die gevolge van die versuim om toepaslike wetlike vereistes te identifiseer?

Versuim om toepaslike wetlike vereistes te identifiseer, kan lei tot aansienlike boetes van toesighoudende owerhede, eise vir kontraktuele breuke van kliënte en vennote, verlies aan besigheid en reputasieskade. Ingevolge die AVG kan boetes tot 4% van die jaarlikse wêreldwye omset beloop. Benewens finansiële boetes, is onkunde oor 'n wetlike vereiste nie 'n verweer in afdwingingsprosedures nie.

Sien ons ontleding van die koste van nie-nakoming teenoor sertifisering vir die finansiële impak van regulatoriese nie-nakoming.

Organisasies wat verskeie raamwerke navigeer, moet lees ISO 27701:2025 teenoor SOC 2: Watter een benodig jy?.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.