Hvad kræver kontrol A.1.3.7?
Organisationen skal implementere politikker, procedurer eller mekanismer for at opfylde sine forpligtelser over for personoplysninger, der er ansvarlige for personoplysninger, til at få adgang til, rette eller slette deres personoplysninger.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Mens A.1.3.2 identificerer hvilke forpligtelser der eksisterer, kræver A.1.3.7, at du opbygger de faktiske operationelle mekanismer, der opfylder tre af de mest udøvede rettigheder for registrerede: adgang, berigtigelse og sletning.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.7) indeholder vejledning i implementeringen af hver af de tre rettigheder:
Ret til adgang
- Giv PII-principaler mulighed for at få adgang til de PII, der opbevares om dem
- Inkluder supplerende oplysninger såsom formålene med behandlingen, datakategorier, modtagere, opbevaringsperioder og datakilden
- Bekræft anmoderens identitet, før du videregiver personoplysninger
Ret til berigtigelse (berigtigelse)
- Tillad PII-principaler at få unøjagtige PII rettet uden unødig forsinkelse
- Sørg for en mekanisme til at udfylde ufuldstændige personoplysninger, under hensyntagen til formålene med behandlingen
- Hvis rettelsen påvirker data, der deles med tredjeparter, skal disse parter underrettes (se A.1.3.8)
Ret til sletning
- Slet personligt identificerbare oplysninger, hvor de ikke længere er nødvendige til det angivne formål
- Slet personoplysninger, hvor samtykket er trukket tilbage, og der ikke gælder andet lovligt grundlag (se A.1.3.5)
- Slet personoplysninger, hvor personen har gjort indsigelse, og der ikke er nogen overordnet legitim grund (se A.1.3.6)
- Slet personoplysninger, der er blevet behandlet ulovligt
- Dokumentér tidsrammer for besvarelse af hver type anmodning
Vejledningen understreger også vigtigheden af identitetsverifikation, før der reageres på en anmodning, for at forhindre uautoriseret adgang eller manipulation af personoplysninger.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.7 knytter sig til flere nøgler GDPR bestemmelser:
- Artikel 5, stk. 1, litra d) — Nøjagtighedsprincippet: Personoplysninger skal være nøjagtige og holdes ajourførte
- artikel 16 — Ret til berigtigelse
- Artikel 17(1)(af) — Ret til sletning (retten til at blive glemt), herunder de seks grunde til, at sletning skal ske
- Artikel 17 (2) — Forpligtelse til at underrette andre dataansvarlige om anmodninger om sletning, når data er blevet offentliggjort
- Artikel 13(2)(b) og 14(2)(c) — Forpligtelse til at informere registrerede om deres ret til indsigt, berigtigelse og sletning
Anmodninger om adgang (SAR'er) er konsekvent den mest almindelige type anmodning fra registrerede på tværs af alle jurisdiktioner. Organisationer bør forvente at håndtere disse regelmæssigt og bør have effektive processer på plads.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Individuel deltagelse og adgang princippet fra ISO 29100. Dette princip kræver, at PII-principaler har mulighed for at tilgå deres data, anfægte deres nøjagtighed og få dem ændret eller slettet, hvor det er relevant. A.1.3.7 er den primære implementeringskontrol for dette princip.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.7 vil revisorer typisk se efter:
- Politik for anmodninger om data fra den registrerede — En omfattende politik, der dækker procedurer for adgang, berigtigelse og sletning, herunder roller, ansvar og tidsrammer
- Mekanisme for anmodningsindtagelse — En dokumenteret, tilgængelig proces til modtagelse af anmodninger (onlineformular, e-mail, personligt fremmøde)
- Procedurer for identitetsbekræftelse — Dokumenterede trin til verifikation af anmodernes identitet, før der gribes ind, i forhold til dataenes følsomhed
- Svarskabeloner — Standardiserede skabeloner til at bekræfte, opfylde og afvise anmodninger med juridisk forsvarlig formulering
- Anmodningslog — Et register over alle modtagne anmodninger med datoer, typer, afgørelser og færdiggørelsesdatoer, der viser overholdelse af tidsrammer
- Dokumentation for fritagelse — Hvis anmodninger afvises (helt eller delvist), dokumenteret begrundelse med henvisning til den gældende undtagelse
- Systemkapacitet — Dokumentation for, at systemer kan finde, udtrække, rette og slette personoplysninger på tværs af alle relevante datalagre
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.9 Levering af kopi af behandlede personoplysninger | Udvider adgangsretten med specifikke krav til format og portabilitet |
| A.1.3.10 Håndtering af anmodninger | Giver den operationelle ramme for håndtering af alle anmodninger om personoplysninger |
| A.1.3.8 Forpligtelser til at informere tredjeparter | Når der foretages rettelse eller sletning, skal tredjeparter underrettes |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Tilbagetrækning af samtykke kan udløse sletningsforpligtelser i henhold til A.1.3.7 |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Opretholdte indsigelser kan udløse sletningsforpligtelser i henhold til A.1.3.7 |
| A.1.2.9 Registreringer relateret til behandling af personoplysninger | Behandling af registre hjælper med at finde alle relevante personoplysninger, når der skal opfyldes anmodninger om adgang eller sletning. |
Hvad har ændret sig fra ISO 27701:2019?
I 2019-udgaven var disse rettigheder dækket i klausul 7.3.6 (Adgang, rettelse og/eller sletning). 2025-udgaven konsoliderer disse under A.1.3.7 med udvidet vejledning i B.1.3.7. Kernekravene er i det væsentlige de samme, men 2025-formatet giver en klarere struktur for revision. Tilføjelsen af A.1.3.9 (levering af en kopi) som en separat kontrol skærper også sondringen mellem adgang og portabilitet. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af adgang, rettelse og sletning?
ISMS.online yder end-to-end support til de mest operationelt krævende rettigheder for registrerede:
- Portal for anmodninger om data om registreret person — En brandet indtagelsesformular, der registrerer anmodningstypen, verificerer identitet og automatisk logger anmodningen med deadlinesporing
- Arbejdsgangsmotor — Rediger anmodninger til de rigtige teams med automatiserede opgavetildelinger, eskaleringer og påmindelser om deadlines, så intet går tabt
- Integration af datakortlægning — Opret forbindelse til din databeholdning for hurtigt at identificere alle systemer, der indeholder anmoderens PII, hvilket reducerer søgetiden for adgangs- og sletningsanmodninger.
- Undtagelseshåndtering — Strukturerede skabeloner til dokumentation og begrundelse af eventuelle anvendte undtagelser, hvilket skaber en forsvarlig registrering for tilsynsmyndigheder
- Resultatrapportering — Dashboard, der viser anmodningsvolumen, svartider, gennemførelsesrater og tendenser, hvilket hjælper dig med at identificere flaskehalse, før de udvikler sig til compliance-problemer
- Tredjepartsmeddelelse — Når rettelser eller sletninger er gennemført, udløses meddelelser til tredjeparter pr. A.1.3.8
Ofte Stillede Spørgsmål
Hvordan skal man bekræfte sin identitet, før man opfylder en anmodning?
Bekræftelse bør stå i forhold til dataenes følsomhed og risikoen for videregivelse til den forkerte person. For eksisterende kunder kan du bekræfte identiteten via deres kontooplysninger. For andre kan du anmode om en kopi af billed-ID eller bede dem om at bekræfte detaljer, som kun de kender. Nøglen er at være sikker på anmoderens identitet uden at skabe en for stor byrde, der afskrækker folk fra at udøve deres rettigheder.
Er der grundlag for at afvise en anmodning om sletning?
Ja. Retten til sletning er ikke absolut. Almindelige undtagelser omfatter behandling, der er nødvendig for at overholde en retlig forpligtelse, udøvelse af offentlig myndighed, hensyn til folkesundheden, arkivering i samfundets interesse og fastlæggelse, udøvelse eller forsvar af retskrav. Hver afvisning skal dokumenteres med den specifikke undtagelse, der påberåbes, og den personoplysninger, der er ansvarlig for den, skal informeres om afvisningen og deres ret til at klage til en tilsynsmyndighed.
Hvilken tidsramme gælder for besvarelse af anmodninger?
Under GDPR, er fristen en måned fra modtagelsen af anmodningen. Dette kan forlænges med yderligere to måneder for komplekse eller talrige anmodninger, forudsat at den personoplysninger, der er ansvarlig for personoplysninger, informeres inden for den første måned. Andre jurisdiktioner kan angive andre tidsrammer. Uanset det lovpligtige minimum bør organisationer dokumentere deres mål for svartider og spore præstationer i forhold til dem. Konsekvent opfyldelse af kortere interne mål demonstrerer stærk operationel kapacitet for revisorer.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
