Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.18: Vertroulikheids- of Nie-Openbaarmakingsooreenkomste

Beheer A.3.18 vereis dat organisasies vertroulikheids- of nie-openbaarmakingsooreenkomste identifiseer, dokumenteer en gereeld hersien wat persoonlike inligting beskerm. Hierdie ooreenkomste vorm 'n belangrike kontraktuele waarborg kragtens ISO 27701:2025.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.18?

Vertroulikheids- of nie-openbaarmakingsooreenkomste wat die organisasie se behoeftes vir die beskerming van persoonlike inligting weerspieël, moet deur personeel en ander relevante belanghebbende partye geïdentifiseer, gedokumenteer, gereeld hersien en onderteken word.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en stel 'n fundamentele kontraktuele waarborg vas: almal wat toegang tot persoonlike inligting het, moet formeel gebonde wees aan vertroulikheidsverpligtinge. Dit skep 'n duidelike regsgrondslag vir die afdwinging van databeskermingsverantwoordelikhede op individuele vlak.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.18) verskaf die volgende riglyne:

  • Verseker dat toegang tot persoonlike inligting (PII) deur vertroulikheidsverpligtinge beheer word — Alle individue wat toegang tot persoonlike inligting het, moet onderworpe wees aan 'n vertroulikheidsverpligting, hetsy deur 'n dienskontrak, 'n losstaande geheimhoudingsooreenkoms of 'n ekwivalente ooreenkoms.
  • Spesifiseer verpligtingduur — Dui duidelik aan hoe lank die vertroulikheidsverpligtinge geld, wat verder as die einde van die diens of die kontrakperiode kan strek.
  • Verwerker-spesifieke vereistes — Vir verwerkers moet die vertroulikheidsooreenkoms verseker dat werknemers en agente voldoen aan die organisasie se datahanterings- en beskermingsbeleide
  • Sien ook A.3.19: Duidelike lessenaar en duidelike skerm vir verwante vereistes

Die riglyne maak dit duidelik dat vertroulikheid nie net 'n kulturele verwagting is nie – dit moet 'n gedokumenteerde, getekende verbintenis met 'n bepaalde duur wees, sodat verpligtinge rolveranderinge, diensbeëindiging en kontrakverstryking oorleef.

Hoe pas dit by die GDPR?

Beheer A.3.18 karteer na verskeie BBP artikels:

  • Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteitsmaatreëls vereis, insluitend beskerming teen ongemagtigde openbaarmaking
  • Artikel 28 (3) (b) — Verwerkers moet verseker dat persone wat gemagtig is om persoonlike data te verwerk, hulself tot vertroulikheid verbind het of onder 'n toepaslike statutêre verpligting van vertroulikheid is.
  • Artikel 38(5) (verwante bepaling, nie formeel gekarteer in Aanhangsel D nie) — Die Databeskermingsbeampte is gebonde aan geheimhouding of vertroulikheid rakende die uitvoering van hul take

Artikel 28(3)(b) is veral betekenisvol omdat dit vertroulikheidsverbintenisse 'n verpligte element van verwerkingsreëlings maak – nie opsionele beste praktyk nie.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.10.2.4 (vertroulikheids- of nie-openbaarmakingsooreenkomste). Die 2025-uitgawe behou die kernvereistes as A.3.18 met duideliker skeiding tussen die beheerverklaring en implementeringsriglyne in B.3.18. Die klem op die spesifisering van die duur van verpligtinge en die versekering van nakoming deur verwerkerwerknemers bly sentraal. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.18 beoordeel word, sal ouditeure tipies kyk na:

  • NDA/vertroulikheidsooreenkomsregister — ’n Bygehoue ​​lys van alle individue wat vertroulikheidsooreenkomste onderteken het, insluitend die datum van ondertekening, die weergawe van die ooreenkoms en die verval- of hersieningsdatum
  • Getekende ooreenkomste — Kopieë van getekende ooreenkomste vir alle personeel en relevante belanghebbende partye met PII-toegang
  • Ooreenkoms inhoud — Dat ooreenkomste die omvang van vertroulikheid, die tipes inligting wat gedek word, die duur van verpligtinge en die gevolge van 'n oortreding spesifiseer
  • Gereelde hersieningsbewyse — Rekords wat toon dat ooreenkomste met beplande tussenposes hersien en opgedateer word wanneer vereistes verander
  • Dekking vir alle toegangtipes — Ooreenkomste wat permanente personeel, kontrakteurs, tydelike werkers, konsultante en enige ander partye met PII-toegang dek

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.9 Toegangsregte Vertroulikheidsooreenkomste moet onderteken word voordat toegang tot persoonlike inligting verskaf word.
A.3.17 Bewustheid en opleiding Opleiding behoort die verpligtinge wat personeel in hul ooreenkomste onderneem het, te versterk
A.3.10 Verskafferooreenkomste Verskafferkontrakte moet vereis dat verskafferpersoneel vertroulikheidsooreenkomste onderteken
A.3.13 Wetlike en kontraktuele vereistes Vertroulikheidsverpligtinge kan deur wetlike of kontraktuele vereistes gedryf word.
A.3.14 Beskerming van rekords Getekende ooreenkomste moet veilig gestoor word en vir die toepaslike tydperk behou word.

Op wie is hierdie beheer van toepassing?

A.3.18 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet verseker dat hul eie personeel en derde partye deur vertroulikheid gebonde is. Verwerkers het die bykomende verpligting kragtens BBP Artikel 28(3)(b) om te verseker dat alle persone wat gemagtig is om persoonlike data te verwerk, tot vertroulikheid verbind is, wat hierdie beheer 'n kontraktuele vereiste maak, nie net beste praktyk nie.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van vertroulikheidsooreenkomste?

ISMS.aanlyn bied praktiese gereedskap vir die handhawing van vertroulikheidsooreenkomste regdeur u organisasie:

  • Ooreenkomsregister — Handhaaf 'n sentrale register van alle vertroulikheids- en NDA-ooreenkomste, met ondertekenaarbesonderhede, datums, weergawes en hersieningskedules
  • Werkvloei vir digitale handtekeninge — Reik elektronies uit, volg en versamel getekende ooreenkomste, met outomatiese herinneringe vir uitstaande handtekeninge
  • Weergawe bestuur — Wanneer ooreenkomssjablone opgedateer word, hou dop watter personeel op die huidige weergawe is en aktiveer herondertekening waar nodig
  • Verval- en hersieningswaarskuwings — Outomatiese kennisgewings wanneer ooreenkomste hul hersieningsdatum nader of wanneer vertroulikheidstydperke op die punt staan ​​om te verstryk
  • Gekoppel aan toegangsbestuur — Koppel vertroulikheidsooreenkomste aan u toegangsbeheerregister sodat PII-toegang slegs toegestaan ​​word sodra ooreenkomste in plek is

Vrae & Antwoorde

Hoe lank moet vertroulikheidsverpligtinge duur?

Die implementeringsriglyne vereis dat organisasies die duur van verpligtinge spesifiseer. In baie gevalle strek vertroulikheidsverpligtinge verder as die einde van indiensneming of die kontrakperiode – dikwels vir twee tot vyf jaar, of onbepaald vir besonder sensitiewe data. Die duur moet proporsioneel wees tot die sensitiwiteit van die PII en die potensiële skade van openbaarmaking. Regsadvies mag nodig wees om afdwingbaarheid in relevante jurisdiksies te verseker.

Kan dienskontrakklousules losstaande geheimhoudingsooreenkomste vervang?

Ja, mits die dienskontrak voldoende gedetailleerde vertroulikheidsbepalings bevat wat spesifiek PII dek, die duur van verpligtinge aandui en gepas is vir die individu se rol. Baie organisasies sluit 'n algemene vertroulikheidsklousule in dienskontrakte in en vul dit aan met 'n meer gedetailleerde PII-spesifieke ooreenkoms vir personeel in hoërisiko-rolle. Die sleutel is dat die verpligtinge gedokumenteer en onderteken word, ongeag die dokumentformaat.

Wat gebeur as 'n persoon weier om 'n vertroulikheidsooreenkoms te teken?

Indien 'n persoon weier om te teken en hul rol PII-toegang vereis, moet hulle nie toegang kry totdat die ooreenkoms in plek is nie. Vir nuwe werknemers moet die ondertekening van die vertroulikheidsooreenkoms 'n voorwaarde vir indiensneming wees of ten minste 'n voorwaarde vir die ontvangs van PII-toegangsregte. Vir bestaande personeel moet die organisasie met HR en regsafdeling saamwerk om die situasie op te los, wat kan behels dat die individu hertoegewys word aan 'n rol wat nie PII-toegang vereis nie.

Dokumenteer jou NDA-vereistes in jou Verklaring van toepaslikheid.

sien ons gids vir vereistes vir ouditbewyse vir wat vertroulikheidsbewyse ouditeure verwag.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.