Hoe is ISO 27701:2025 van toepassing op KI-stelsels wat persoonlike data verwerk?
Kunsmatige intelligensiestelsels verwerk gereeld groot hoeveelhede persoonlik identifiseerbare inligting (PII), hetsy vir die opleiding van masjienleermodelle, die neem van outomatiese besluite oor individue, of die ontleding van gedragspatrone. ISO 27701:2025 bevat nie KI-spesifieke kontroles nie, maar die privaatheidsraamwerk daarvan is direk van toepassing op enige stelsel wat PII verwerk, insluitend KI.
Die volgende Aanhangsel A beheermaatreëls is veral relevant vir KI-privaatheid:
| Beheer | Titel | KI-relevansie |
|---|---|---|
| A.1.2.2 Identifiseer en dokumenteer doel | Identifiseer en dokumenteer doel | Vereis duidelike dokumentasie van waarom PII ingesamel word vir KI-opleidingsdatastelle, modelinsette en -uitsette |
| A.1.2.3 Identifiseer wettige basis | Identifiseer die wettige basis | KI-verwerking moet 'n geldige regsbasis hê, veral belangrik vir die skraap of hergebruik van data vir modelopleiding. |
| A.1.3.11 Geoutomatiseerde besluitneming | Outomatiese besluitneming | Spreek direk KI-gedrewe besluite oor individue aan, wat voorsorgmaatreëls, deursigtigheid en die vermoë om uitkomste te betwis, vereis |
| A.1.4.2 Limietversameling | Beperk versameling | Dataminimalisering vir opleidingsstelle: versamel slegs die PII wat werklik nodig is vir die KI-doel |
| A.1.4.5 Minimalisering van persoonlike inligting | PII-minimaliseringsdoelwitte | Vereis doelwitte vir die minimalisering van persoonlike inligting (PII), direk van toepassing op die vermindering van onnodige persoonlike data in opleidingsdatastelle. |
| A.1.4.6 De-identifikasie en Verwydering | De-identifikasie en verwydering | Anonimiserings- en pseudonimiseringstegnieke vir KI-opleidingsdata om privaatheidsrisiko te verminder |
| A.3.27 Veilige ontwikkelingslewensiklus | Veilige ontwikkeling | Privaatheid deur ontwerp in KI-stelselontwikkeling, wat verseker dat privaatheidsoorwegings van die begin af ingebed is |
Outomatiese besluitneming onder A.1.3.11 Outomatiese Besluitneming
Beheer A.1.3.11 Geoutomatiseerde besluitneming is een van die belangrikste beheermaatreëls vir KI-beheer. Dit vereis dat organisasies verwerkingsaktiwiteite identifiseer wat outomatiese besluitneming behels, verseker dat PII-hoofde ingelig word wanneer besluite wat hulle raak deur outomatiese stelsels geneem word, en meganismes verskaf vir individue om daardie besluite te betwis. Dit stem nou ooreen met BBP Artikel 22 en posisioneer ISO 27701:2025 as 'n praktiese raamwerk vir die bestuur van KI-verwante privaatheidsverpligtinge.
Dataminimalisering vir KI-opleidingsstelle
Een van die grootste privaatheidsuitdagings in KI is die neiging om groot hoeveelhede persoonlike data vir modelopleiding in te samel en te behou. A.1.4.2 Limietversameling (limietversameling) en A.1.4.5 Minimalisering van persoonlike inligting (PII-minimaliseringsdoelwitte) vereis dat organisasies slegs die PII insamel wat werklik nodig is vir die gedokumenteerde doel en meetbare doelwitte stel om PII-gebruik te verminder. In die praktyk beteken dit dat organisasies moet evalueer of sintetiese data, geanonimiseerde datastelle of gefedereerde leerbenaderings dieselfde uitkoms met minder privaatheidsrisiko kan bereik.
Beheer A.1.4.6 De-identifikasie en Verwydering (de-identifikasie en verwydering) is ewe belangrik. Organisasies moet pseudonimisasie- of anonimiseringstegnieke vir opleidingsdata implementeer waar moontlik, en bron-PII verwyder sodra die model opgelei is indien dit nie meer vir sy oorspronklike doel benodig word nie.
Organisasies wat KI-stelsels gebruik, moet ook oorweeg ISO 42001, die toegewyde KI-bestuurstelselstandaard. Terwyl ISO 27701:2025 die privaatheidsaspekte van KI-verwerking aanspreek, bied ISO 42001 'n breër bestuursraamwerk vir verantwoordelike KI-ontwikkeling en -ontplooiing. Die twee standaarde vul mekaar effektief aan.
Watter kontroles spreek die privaatheid van IoT-toestelle aan?
Die Internet van Dinge bring unieke privaatheidsuitdagings mee. Verbonde toestelle soos gesondheidsdraagbare toestelle, slimhuisassistente, industriële sensors en voertuigtelematikastelsels versamel voortdurend persoonlike inligting, dikwels vanuit omgewings waar individue dalk nie ten volle bewus is van die data-insameling wat plaasvind nie.
Belangrike privaatheidsrisiko's met IoT-toestelle sluit in:
- Omgewingsversameling — Toestelle kan PII van omstanders of huishoudelike lede wat nie toestemming gegee het nie, vasvang
- Data volume — Deurlopende sensordata kan gedetailleerde profiele van gedrag, ligging en gesondheidstatus skep
- Beperkte koppelvlakke — Baie IoT-toestelle het geen skerm of gebruikerskoppelvlak nie, wat dit moeilik maak om privaatheidskennisgewings te verskaf of toestemming te verkry
- Oordragrisiko's — Data wat vanaf toestelle na wolkdienste oorgedra word, kan deur onveilige netwerke gaan
- Retensie — Die voortdurende aard van IoT-toestelle kan lei tot onbepaalde databewaring indien dit nie behoorlik bestuur word nie.
Anders as tradisionele IT-stelsels, werk IoT-toestelle dikwels in onbeheerde omgewings waar fisiese toegang nie beperk kan word nie, sagteware-opdaterings moeilik is om te ontplooi, en die blote aantal toestelle 'n groot aanvalsoppervlak skep. 'n Gekompromitteerde IoT-toestel kan persoonlike inligting (PII) op groot skaal blootstel met minimale aanduiding aan die betrokke datasubjekte.
ISO 27701:2025 spreek hierdie risiko's aan deur middel van verskeie beheermaatreëls:
| Beheer | Titel | IoT-toepassing |
|---|---|---|
| A.3.22 Gebruikerseindpunttoestelle | Gebruikerseindpunttoestelle | Sekuriteitsvereistes vir IoT-toestelle as eindpunte, insluitend konfigurasie, toegangsbeheer en lewensiklusbestuur |
| A.3.26 Gebruik van kriptografie | Gebruik van kriptografie | Enkripsie van PII tydens oordrag vanaf IoT-toestelle en in rus op toestelberging |
| A.1.4.10 PII-oordragkontroles | Transmissiekontroles | Beveiliging van data wat tussen IoT-toestelle en verwerkingsinfrastruktuur oorgedra word |
| A.1.4.2 Limietversameling | Beperk versameling | Konfigurasie van IoT-toestelle om slegs die PII in te samel wat nodig is vir hul verklaarde doel |
| A.1.4.7 Tydelike lêers | Tydelike lêers | Bestuur van gekaste of gebufferde PII op toestelberging |
| A.3.19 Duidelike lessenaar en duidelike skerm | Duidelike lessenaar en duidelike skerm | Skermtoestelle en kiosks wat moontlik PII in gedeelde of openbare ruimtes kan wys |
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Hoe spreek ISO 27701:2025 biometriese dataprivaatheid aan?
Biometriese data, insluitend vingerafdrukke, gesigsherkenningsjablone, iris-skanderings, stemafdrukke en gedragsbiometrie, verteenwoordig van die sensitiefste persoonlike inligting wat 'n organisasie kan verwerk. Ingevolge die AVG word biometriese data wat vir identifikasiedoeleindes verwerk word, geklassifiseer as spesiale kategorie-data onder Artikel 9, wat addisionele waarborge vereis.
ISO 27701:2025 het nie 'n toegewyde "biometriese data"-beheer nie, maar die raamwerk bied omvattende dekking deur middel van beheermaatreëls wat elke stadium van biometriese dataverwerking aanspreek:
Versameling en toestemming
Biometriese data-insameling vereis besondere noukeurige aandag aan doeldokumentasie en toestemming. A.1.2.2 Identifiseer en dokumenteer doel vereis dat organisasies duidelik dokumenteer waarom biometriese data versamel word. Kontroles A.1.2.4 Bepaal Toestemming en A.1.2.5 Verkry en teken toestemming aan vereistes vasstel vir die bepaling van wanneer toestemming nodig is en die toepaslike opname daarvan. Vir biometriese data word eksplisiete toestemming byna altyd vereis.
Minimalisering en berging
Die data-minimaliseringskontroles is van kritieke belang vir biometriese data. A.1.4.2 Limietversameling (limietinsameling) verseker dat organisasies slegs die biometriese data insamel wat werklik nodig is. A.1.4.5 Minimalisering van persoonlike inligting (PII-minimaliseringsdoelwitte) vereis die stel van spesifieke doelwitte vir die vermindering van biometriese data waar moontlik, byvoorbeeld die berging van afgeleide sjablone eerder as rou biometriese beelde.
De-identifikasie en sekuriteit
Beheer A.1.4.6 De-identifikasie en Verwydering dek de-identifikasietegnieke wat veral relevant is vir biometriese data. Organisasies moet oorweeg of biometriese sjablone in plaas van rou data gebruik kan word, of eenrigting-hashing gestoorde biometriese beelde kan vervang, en wanneer biometriese data permanent verwyder moet word. Beheer A.3.26 Gebruik van kriptografie (kriptografie) spreek die enkripsie van biometriese data aan, beide tydens transito en in rus, wat noodsaaklik is gegewe die sensitiwiteit van hierdie datatipe.
Biometriese data en GDPR
Vir organisasies wat onderworpe is aan GDPR, Bylae D koppel ISO 27701-kontroles aan GDPR-artikels, insluitend Artikel 9 oor spesiale kategorieë van data. Hierdie kartering bied 'n gestruktureerde benadering om aan te toon dat biometriese dataverwerking voldoen aan Europese databeskermingsvereistes.
Algemene biometriese data scenario's
Organisasies moet oorweeg hoe ISO 27701:2025 op hul spesifieke biometriese gebruiksgevalle van toepassing is:
- Werknemertoegangsbeheer — Vingerafdruk- of gesigsherkenning vir toegang tot geboue vereis doeldokumentasie (A.1.2.2 Identifiseer en dokumenteer doel), 'n wettige basis (A.1.2.3 Identifiseer wettige basis, dikwels wettige belang of kontrak), en enkripsie van gestoorde sjablone (A.3.26 Gebruik van kriptografie)
- Kliëntverifikasie — Stem- of gesigsherkenning vir bank- of betalingsdienste vereis uitdruklike toestemming (A.1.2.4 Bepaal Toestemming, A.1.2.5 Verkry en teken toestemming aan), impakstudie op privaatheid (A.1.2.6 Impakassessering vir privaatheid) en robuuste de-identifikasiemaatreëls (A.1.4.6 De-identifikasie en Verwydering)
- Gesondheidsorgbiometrie — Retinale skanderings, gangontleding of fisiologiese monitering in kliniese omgewings vereis streng versamelingsbeperkings (A.1.4.2 Limietversameling), veilige oordrag (A.1.4.10 PII-oordragkontroles) en duidelike behoudbeleide (A.1.4.9 Beskikking)
- Wetstoepassing samewerking — Organisasies wat versoeke vir biometriese data van owerhede ontvang, moet prosesse onder A.1.5.x hê om sulke versoeke wettiglik te bestuur
Praktiese implementering oor KI, IoT en biometrie
Alhoewel die spesifieke privaatheidsrisiko's verskil tussen KI-, IoT- en biometriese tegnologieë, bied die ISO 27701:2025-raamwerk 'n konsekwente benadering tot die bestuur daarvan. Organisasies moet:
- Kaartverwerkingsaktiwiteite — Dokumenteer elke aktiwiteit waar KI, IoT of biometriese stelsels PII verwerk, insluitend die doel, wettige basis, datakategorieë en ontvangers
- Doen privaatheidsimpakstudies — Beheer A.1.2.6 Impakassessering vir privaatheid vereis privaatheidsimpakbeoordelings vir verwerkingsaktiwiteite wat verhoogde risiko inhou. KI, IoT en biometriese verwerking sal amper altyd kwalifiseer
- Pas privaatheid deur ontwerp toe — Gebruik beheer A.3.27 Veilige ontwikkelingslewensiklus om privaatheidsoorwegings van die begin af in die ontwerp en ontwikkeling van KI-modelle, IoT-argitekture en biometriese stelsels in te sluit
- Vestig prosesse vir die regte van data-onderwerpe - Die A.1.3.x kontroles verseker dat individue toegang tot hul data kan verkry, dit kan regstel en uitvee, wat spesifieke tegniese uitdagings bied vir data wat in KI-opleidingstelle ingebed is of oor IoT-netwerke versprei is. Oorweeg hoe u uitveeversoeke sal eerbiedig wanneer PII gebruik is om 'n model op te lei, of hoe u toegang sal bied tot data wat passief deur IoT-sensors versamel is.
- Implementeer tegniese voorsorgmaatreëls - Die A.3.x gedeelde kontroles verskaf 'n basislyn van sekuriteitsmaatreëls, insluitend kriptografie, toegangsbeheer, logging en voorvalbestuur
- Monitor en hersien — Opkomende tegnologieë ontwikkel vinnig. Gebruik die Klousule 9 prestasie-evalueringsvereistes om gereeld te hersien of jou privaatheidskontroles effektief bly soos KI-modelle heropgelei word, IoT-toestelfirmware opgedateer word, of biometriese stelsels opgegradeer word
Die bou van 'n kruistegnologie-privaatheidsregister
Organisasies wat persoonlike inligting (PII) deur verskeie opkomende tegnologieë verwerk, moet 'n verenigde verwerkingsaktiwiteitsregister byhou wat elke tegnologietipe, die verwerkte PII-kategorieë, toepaslike beheermaatreëls en risikograderings vaslê. Dit bied 'n enkele oorsig van privaatheidsverpligtinge oor KI-, IoT- en biometriese stelsels, wat dit makliker maak om gapings te identifiseer en voldoening tydens oudits te demonstreer.
Die register moet die volgende dokumenteer: die spesifieke tegnologie en verwerkingsaktiwiteit; die betrokke kategorieë van persoonlike inligting; die wettige basis en doel; toepaslike Aanhangsel A beheermaatreëls; die status van die privaatheidsimpakbepaling; en enige oorblywende risiko's na die implementering van beheermaatreëls. ISMS.aanlyn verskaf 'n gesentraliseerde register wat verwerkingsaktiwiteite direk aan die relevante beheermaatreëls, risiko's en bewyse koppel.
Hierdie benadering is veral waardevol tydens sertifiseringsoudits, waar ouditeure verwag om 'n duidelike, gedokumenteerde verhouding te sien tussen verwerkingsaktiwiteite, risikobepalings en die beheermaatreëls wat toegepas word om daardie risiko's te bestuur. 'n Verenigde register toon dat u organisasie opkomende tegnologie-privaatheidsrisiko's sistematies eerder as in isolasie bestuur.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir die bestuur van KI, IoT en biometrie-privaatheid?
ISMS.aanlyn bied die gereedskap en struktuur om privaatheid oor komplekse verwerkingsomgewings te bestuur:
- Verwerkingsaktiwiteitregister — Dokumenteer en onderhou 'n volledige inventaris van KI-, IoT- en biometriese verwerkingsaktiwiteite met doel, wettige basis en risikograderings
- Werkvloeie vir die assessering van privaatheidsimpak — Gestruktureerde PIA-sjablone wat jou deur die assesseringsproses vir hoërisiko-verwerkingsaktiwiteite lei
- Beheer kartering — Sien presies watter Aanhangsel A-kontroles van toepassing is op jou KI-, IoT- en biometriese verwerking en spoor implementeringsstatus na
- Geïntegreerde risikobestuur — Assesseer en behandel privaatheidsrisiko's spesifiek vir opkomende tegnologieë binne 'n enkele, gesentraliseerde risikoregister
- Multi-raamwerk ondersteuning — Bestuur ISO 27701:2025 saam met ISO 42001 (KI-bestuur) en ISO 27001 (inligtingsekuriteit) in een platform, met gedeelde beheermaatreëls en bewyse
Vrae & Antwoorde
Dek ISO 27701:2025 spesifiek KI?
ISO 27701:2025 is 'n tegnologie-neutrale standaard wat van toepassing is op alle vorme van PII-verwerking, insluitend KI. Alhoewel dit nie KI-spesifieke beheermaatreëls bevat nie, dek die raamwerk die belangrikste privaatheidskwessies wat voortspruit uit KI-stelsels: doelbeperking, wettige basis, outomatiese besluitneming, data-minimalisering en deursigtigheid. Vir KI-spesifieke bestuur moet organisasies ook ISO 42001 oorweeg, wat verantwoordelike KI-bestuur aanspreek. Die twee standaarde werk goed saam, met ISO 27701 wat die privaatheidsdimensie dek en ISO 42001 wat breër KI-bestuur dek.
Hoe hou ISO 27701 verband met ISO 42001?
ISO 27701:2025 en ISO 42001 is komplementêre standaarde. ISO 27701 bied 'n privaatheidsinligtingbestuurstelsel vir die beskerming van persoonlike inligting oor alle verwerkingsaktiwiteite, terwyl ISO 42001 'n bestuurstelsel bied vir die verantwoordelike ontwikkeling en gebruik van KI. Organisasies wat KI gebruik om persoonlike data te verwerk, trek voordeel uit die implementering van beide: ISO 42001 vir algehele KI-beheer (insluitend etiese oorwegings, vooroordeel, deursigtigheid en risiko) en ISO 27701 vir die spesifieke privaatheidsverpligtinge rondom hoe daardie KI persoonlike data hanteer. ISMS.aanlyn ondersteun beide standaarde in 'n enkele platform.
Word biometriese data as spesiale kategorie data onder ISO 27701 behandel?
ISO 27701:2025 self gebruik nie die term "spesiale kategorie data" nie, aangesien dit GDPR-spesifieke terminologie is. Die standaard erken egter dat sekere tipes PII 'n hoër risiko inhou en addisionele voorsorgmaatreëls vereis. Biometriese data val in hierdie kategorie. Wanneer ISO 27701 geïmplementeer word, moet organisasies wat biometriese data verwerk, verhoogde beheermaatreëls toepas vir die beperking van versameling, toestemming, de-identifikasie en sekuriteit. Indien u ook onderhewig is aan GDPR, Bylae D verskaf die kartering tussen ISO 27701-beheermaatreëls en GDPR-artikels, insluitend Artikel 9 wat spesiale kategorie-data reguleer.
Vir 'n omvattende raamwerk oor KI-spesifieke privaatheidsrisiko's, sien ons KI-privaatheidsbestuur lei.
SaaS-platforms wat PII verwerk, staar unieke uitdagings in die gesig — ons gids vir SaaS-platforms dek hierdie in detail.
