Wat sê Aanhangsel D vir jou?
Aanhangsel D is 'n informatiewe aanhangsel wat ISO 27701:2025-klousules en -kontroles aan Artikels 5 tot 35 en 44 tot 49 (uitgesluit Artikels 36-43) van die EU Algemene Databeskermingsregulasie (GDPR)Dit toon hoe ooreenstemming met die vereistes en beheermaatreëls van die standaard relevant kan wees vir die nakoming van GDPR-verpligtinge.
Belangrik: Hierdie kartering is bloot aanduidend. Dit is die organisasie se verantwoordelikheid om sy eie wetlike verpligtinge te assesseer en te besluit hoe om daaraan te voldoen. Die implementering van ISO 27701:2025-beheermaatreëls waarborg nie outomaties GDPR-nakoming nie, maar dit bied 'n gestruktureerde raamwerk om aan te toon dat u sleutelvereistes aangespreek het.
Vir 'n breër oorsig van die belangrikste veranderinge, sien wat is nuut in ISO 27701:2025Vir kartering na ander raamwerke, sien Aanhangsel C (ISO 29100) en Aanhangsel E (ISO 27018/29151)Vir 2019-ekwivalensies, sien die Aanhangsel F korrespondensietabel.
Hoe word die bestuurstelselklousules aan GDPR gekoppel?
Die standaard se bestuurstelselvereistes (Klausules 4 tot 10) verwys hoofsaaklik na GDPR-artikels oor databeskermingsverantwoordelikheid, sertifisering, impakstudies en konsultasie met toesighoudende owerhede.
| ISO 27701:2025-klousule | Sleutel GDPR-artikels | Onderwerp |
|---|---|---|
| 4.1 Verstaan die organisasie | Art. 24, 25, 28, 32 | Verantwoordelikheid vir databeskerming, gedragskodes, sertifisering |
| 4.2 Behoeftes van belanghebbende partye | Art. 31, 35 | Samewerking met toesighoudende owerheid, DPIA-konsultasie |
| 4.3-4.4 Omvang en PIMS | Art. 32 | Sekuriteit van verwerking |
| 5.2 Privaatheidsbeleid | Art. 24 | Verantwoordelikheid van die beheerder |
| 5.3 Rolle en verantwoordelikhede | Art. 27, 37-39 | Verteenwoordigers van nie-EU-organisasies, DPO-aanwysing en take |
| 6.1.2-6.1.3 Risikobepaling en -behandeling | Art. 32, 35 | Sekuriteit van verwerking, impakstudie van databeskerming |
Hoe word PII-beheerderkontroles (B.1) gekoppel aan GDPR?
Die PII-beheerder Implementeringsriglyne in Aanhangsel B is breedvoerig op die kernbeginsels van die AVG en die regte van die betrokke persoon gefokus. Elke B.1-kontrole verskaf implementeringsriglyne vir die ooreenstemmende Aanhangsel A beheer met dieselfde nommering (bv. B.1.2.2 is die riglyn vir A.1.2.2).
| Aanhangsel B-riglyne | Aanhangsel A Beheer | Sleutel GDPR-artikels | Onderwerp |
|---|---|---|---|
| B.1.2.2 | A.1.2.2 Identifiseer en dokumenteer doel | Art. 5(1)(b), 32(4) | Doelbeperking |
| B.1.2.3 | A.1.2.3 Identifiseer die wettige basis | Art. 5(1)(a), 6(1)-(4), 8, 9, 10, 17, 18, 22 | Wettigheid, spesiale kategorieë, kriminele data, toestemming van kinders |
| B.1.2.4-5 | A.1.2.4 Bepaal toestemming, A.1.2.5 Verkry en teken toestemming aan | Art. 7, 8, 9(2)(a) | Voorwaardes vir toestemming |
| B.1.2.6 | A.1.2.6 Impakbepaling vir privaatheid | Art. 35 | DPIA en voorafgaande konsultasie |
| B.1.2.9 | A.1.2.9 Rekords van verwerking | Art. 5(2), 24, 30 | Aanspreeklikheid, rekords van verwerkingsaktiwiteite |
| B.1.3.3-4 | A.1.3.3 Inligting vir PII-hoofde, A.1.3.4 Verskaffing van inligting | Art. 11-15, 18, 21 | Deursigtigheid, inligting aan datasubjekte |
| B.1.3.5 | A.1.3.5 Trek toestemming terug | Art. 7(3), 13, 14, 18 | Reg om toestemming te onttrek, beperking van verwerking |
| B.1.3.6 | A.1.3.6 Beswaar teen verwerking | Art. 13, 14, 21 | Reg om te beswaar |
| B.1.3.7 | A.1.3.7 Toegang, regstelling of uitwissing | Art. 5(1)(d), 13, 14, 16, 17 | Reg van toegang, regstelling, uitwissing |
| B.1.3.9 | A.1.3.9 Verskaffing van 'n afskrif van die persoonlike inligting | Art. 15(3-4), 20 | Reg op data-oordraagbaarheid |
| B.1.3.10 | A.1.3.10 Hantering van versoeke | Art. 12(3-6), 15 | Prosedures vir die uitoefening van regte |
| B.1.3.11 | A.1.3.11 Outomatiese besluitneming | Art. 13, 14, 22 | Geoutomatiseerde individuele besluitneming, profilering |
| B.1.4.2-3 | A.1.4.2 Limietversameling, A.1.4.3 Beperk verwerking | Art. 5(1)(bc), 25(2) | Doelbeperking, dataminimalisering, databeskerming deur ontwerp |
| B.1.4.6 | A.1.4.6 De-identifikasie en verwydering | Art. 5(1)(ce), 6(4)(e), 11, 32 | Dataminimalisering, bergingsbeperking, pseudonimisasie |
| B.1.5.2 | A.1.5.2 Basis vir internasionale oordrag | Art. 15, 30, 44-49 | Oordragte na derde lande, toereikendheid, waarborge, bindende regulasies (BCR's), afwykings |
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoe word PII-verwerkerkontroles (B.2) gekoppel aan GDPR?
Die PII-verwerker Implementeringsriglyne volg dieselfde nommeringskonvensie. Elke B.2-verwysing stem ooreen met sy ooreenstemmende A.2-kontrole.
| Aanhangsel B-riglyne | Aanhangsel A Beheer | Sleutel GDPR-artikels | Onderwerp |
|---|---|---|---|
| B.2.2.2 | A.2.2.2 Kliëntooreenkoms | Art. 28, 35 | Verwerkerverpligtinge, DPIA-ondersteuning |
| B.2.2.3 | A.2.2.3 Organisasie se doelwitte | Art. 5(1)(ab), 28(3)(a), 29, 32 | Verwerking onder beheerder se gesag |
| B.2.2.4 | A.2.2.4 Bemarking en advertensies | Art. 7(4) | Toestemming nie voorwaardelik vir diens nie |
| B.2.2.7 | A.2.2.7 Rekords van verwerking | Art. 30(2-5) | Rekords van verwerkingsaktiwiteite (verwerker) |
| B.2.3.2 | A.2.3.2 Verpligtinge teenoor PII-hoofde | Art. 15(3), 17(2), 28(3)(e) | Help die beheerder met versoeke vir data-onderwerpe |
| B.2.4.3 | A.2.4.3 Terugbesorging of wegdoening van persoonlike inligting | Art. 28(3)(g), 30(1)(f) | Verwydering of terugbesorging na einde van diens |
| B.2.5.2 | A.2.5.2 Internasionale oordragte | Art. 44, 46, 48, 49 | Oordragte na derde lande (verwerker) |
| B.2.5.7 | A.2.5.7 Openbaarmaking van subkontrakteurs | Art. 28(2) | Subverwerker-magtiging |
| B.2.5.8 | A.2.5.8 Aanstelling van subkontrakteur | Art. 28(2-4) | Kontraktuele vereistes vir subverwerkers |
| B.2.5.9 | A.2.5.9 Verandering van subkontrakteur | Art. 28(2) | Kennisgewing van verandering van subverwerker |
Hoe word gedeelde sekuriteitskontroles (B.3) gekoppel aan GDPR?
Die gedeelde sekuriteitskontroles hoofsaaklik gekoppel aan GDPR Artikel 5(1)(f) (integriteit en vertroulikheid) en Artikel 32 (sekuriteit van verwerking). Elke B.3-verwysing stem ooreen met sy ooreenstemmende A.3-beheer.
| Aanhangsel B-riglyne | Bylae A Kontroles | Sleutel GDPR-artikels | Onderwerp |
|---|---|---|---|
| B.3.5-9 | A.3.5 Klassifikasie, A.3.6 Etikettering, A.3.7 Oordrag, A.3.8 Identiteit, A.3.9 Toegang | Art. 5(1)(f) | Integriteits- en vertroulikheidsbeginsel |
| B.3.10, B.3.13 | A.3.10 Verskafferooreenkomste, A.3.13 Wetlike vereistes | Art. 28, 32 | Verwerkerverpligtinge, sekuriteit van verwerking |
| B.3.11-12 | A.3.11 Voorvalbestuur, A.3.12 Insidentrespons | Art. 33-34 | Kennisgewing van oortreding (aan toesighoudende owerheid en datasubjekte) |
| B.3.14, B.3.16 | A.3.14 Beskerming van rekords, A.3.16 Nakoming | Art. 5(2), 24, 32 | Aanspreeklikheid, nakomingsverifikasie |
| B.3.19-25 | A.3.19 Leë lessenaar, A.3.20 Stoormedia, A.3.21 Beskikking, A.3.22 Eindpunte, A.3.23 Verifikasie, A.3.24 Rugsteun, A.3.25 Logging | Art. 5(1)(f), 32(1)(a) | Integriteit, vertroulikheid, enkripsie en pseudonimisasie |
| B.3.26 | A.3.26 Gebruik van kriptografie | Art. 32(1)(a) | Enkripsie en pseudonimisasie |
| B.3.27-29 | A.3.27 Veilige ontwikkeling, A.3.28 Toepassingsekuriteit, A.3.29 Stelselargitektuur | Art. 25(1) | Databeskerming deur ontwerp |
| B.3.31 | A.3.31 Toetsinligting | Art. 5(1)(f), 32 | Beskerming van PII in toetsomgewings |
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoe moet jy hierdie kartering in die praktyk gebruik?
Die Aanhangsel D-kartering is 'n beginpunt, nie 'n voldoeningskontrolelys nie. Hier is hoe om dit effektief te gebruik:
- Gaping analise: Indien u ISO 27701:2025-kontroles geïmplementeer het, gebruik die kartering om te identifiseer watter GDPR-artikels u reeds aangespreek het en waar daar steeds gapings is.
- Ouditbewyse: Verwys na die kartering wanneer u aan toesighoudende owerhede of ouditeure demonstreer dat u PIMS GDPR-nakoming ondersteun
- Kruisraamwerkverslagdoening: Gebruik die kartering om verenigde voldoeningsverslae te produseer wat wys hoe een stel beheermaatreëls aan verskeie regulatoriese vereistes voldoen
- DPIA-ondersteuning: Die kartering na Artikel 35 help jou om jou privaatheidsimpakstudies te verbind (beheer A.1.2.6) aan die GDPR se DPIA-vereistes
- Oorgangsbeplanning: As jy van ISO 27701:2019 af beweeg, gebruik die kartering langs die oorgangsgids om die GDPR-dekking onder die nuwe beheerstruktuur na te gaan
Onthou dat GDPR-nakoming verpligtinge behels wat verder strek as wat enige enkele standaard dek (bv. die aanstelling van 'n leidende toesighoudende owerheid, die reaksie op handhawingsaksies). Die kartering toon waar ISO 27701:2025 gestruktureerde ondersteuning bied, nie waar nakoming gewaarborg word nie.
Hoekom kies ISMS.aanlyn vir GDPR en ISO 27701-belyning?
ISMS.aanlyn help jou om beide raamwerke in 'n enkele platform te bestuur:
- Geïntegreerde voldoeningsaansigte — Sien hoe ISO 27701:2025-kontroles in een dashboard aan GDPR-verpligtinge gekoppel word
- Bewysbiblioteek — Heg dieselfde bewyse (beleide, DPIA's, oortredingsprosedures) aan beide ISO 27701-kontroles en GDPR-vereistes aan
- Regulatoriese dophou — Bly op hoogte van GDPR-afdwingingstendense en werk jou PIMS dienooreenkomstig op
- Datakaarte — Dokumenteer u verwerkingsaktiwiteite, wettige basisse en internasionale oordragte in 'n gestruktureerde register
- Oortredingsbestuur — Volg voorvalle van opsporing tot kennisgewing, in lyn met beide Art. 33/34 en beheermaatreëls A.3.11/A.3.12
Vrae & Antwoorde
Beteken die implementering van ISO 27701:2025 dat ek GDPR-voldoenend is?
Nie outomaties nie. ISO 27701:2025 bied 'n bestuurstelselraamwerk wat baie GDPR-vereistes ondersteun, maar GDPR-nakoming hang af van u spesifieke verwerkingsaktiwiteite, wettige basisse en hoe u u beheermaatreëls implementeer en bedryf. Die Aanhangsel D-kartering is aanduidend, nie 'n voldoeningsertifikaat nie. Vir 'n gedetailleerde blik op hoe die standaard GDPR ondersteun, sien die GDPR-nakomingsgids.
Watter GDPR-artikels word die omvattendste deur ISO 27701:2025 gedek?
Artikels 5 (beginsels), 6 (wettige basis), 12-22 (regte van data-onderwerpe), 25 (databeskerming deur ontwerp), 28 (verwerkerverpligtinge), 30 (rekords van verwerking), 32 (sekuriteit), 33-34 (kennisgewing van oortredings) en 44-49 (internasionale oordragte) het almal uitgebreide koppelings aan ISO 27701:2025-beheermaatreëls. Die beheerderkontroles die breedste dekking bied, wat die regte van die betrokke persoon, doelbeperking en vereistes vir die wettige basis aanspreek.
Het die GDPR-kartering verander sedert die 2019-uitgawe?
Die kartering is opgedateer om die nuwe kontrolenommering te weerspieël (Aanhangsel A/B-struktuur in plaas van Klousules 6-8), maar die onderliggende GDPR-artikels wat gedek word, bly breedweg soortgelyk. Die 2025-kartering is meer gedetailleerd in sommige gebiede as gevolg van die herstruktureerde beheerstel. Sien die volledige vergelyking van veranderinge vir meer besonderhede.
Wat is die verband tussen Aanhangsel A en Aanhangsel B?
Aanhangsel A definieer die privaatheidskontroles (wat jy moet doen) en Aanhangsel B verskaf die ooreenstemmende implementeringsriglyne (hoe om dit te doen). Hulle deel dieselfde nommering: A.1.2.2 is die beheermaatreël en B.1.2.2 is die riglyne daarvan. Beide bylaes is normatief in die 2025-uitgawe. Die Bylae D-kartering verwys na die B-nommering omdat dit die implementeringsriglyne aan GDPR-artikels koppel, maar elke B-beheermaatreël het 'n direkte A-eweknie.
Vir praktiese leiding oor die implementering van grensoorskrydende oordragbeheer, sien ons gids vir grensoverschrijdende data-oordragte.
Verstaan die volle finansiële prentjie in ons ontleding van die koste van nie-nakoming teenoor sertifisering.
DPO's kan 'n gefokusde perspektief op hierdie verpligtinge vind in ons gids vir DPO's.
