Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.2.7: Kontrakter med PII-behandlere

Kontrol A.1.2.7 kræver, at organisationer har skriftlige kontrakter med alle PII-behandlere, de bruger, for at sikre, at disse kontrakter omhandler implementeringen af ​​passende bilag A-kontroller. Det er her, at ansvarligheden rækker ud over din egen organisation.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.2.7?

Organisationen skal have en skriftlig kontrakt med enhver PII-behandler, den bruger, og skal sikre, at deres kontrakter med PII-behandlere omhandler implementeringen af ​​de relevante kontroller i Bilag A (Se Tabel A.2).

Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2). Den anerkender, at mange organisationer ikke behandler PII udelukkende internt — de engagerer cloududbydere, lønbureauer, marketingplatforme og andre tredjeparter til at behandle PII på deres vegne. A.1.2.7 sikrer, at disse ordninger er underlagt formelle kontrakter, der udvider privatlivs- og sikkerhedsforpligtelser til databehandleren.

Henvisningen til Tabel A.2 er væsentlig: det betyder, at kontrakten skal omhandle de personoplysninger, der er relevante for processor kontroller defineret i standarden, ikke blot generelle databeskyttelsesklausuler.

Indkøbsteams kræver i stigende grad ISO 27701-certificering fra forarbejdningsvirksomheder – se vores vejledning om indkøbskrav og vejledning til leverandørevaluering.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.2.7) indeholder følgende vejledning om, hvad databehandlerkontrakter bør specificere:

  • Behandlingens art og formål — Hvad databehandleren vil gøre med de personlige oplysninger, og hvorfor
  • Typer af behandlede personoplysninger — De kategorier af personoplysninger, som databehandleren vil håndtere (f.eks. kontaktoplysninger, økonomiske data, helbredsjournaler)
  • Behandlingens varighed — Hvor længe databehandleren vil behandle personoplysninger, og hvad der sker med dataene ved kontraktens udløb
  • Databehandlerens forpligtelser — Specifikke opgaver, som databehandleren skal opfylde, herunder implementering af Tabel A.2 kontroller, der er relevante for behandlingen
  • Den dataansvarliges rettigheder og forpligtelser — Organisationens ret til at revidere, give instruktioner og godkende eller afvise underdatabehandlere
  • Krav til implementering Tabel A.2 kontrol — Kontrakten skal henvise til eller inkorporere de specifikke databehandlerkontroller fra bilag A, der er relevante for behandlingsaktiviteterne

Vejledningen bemærker også, at organisationer bør overveje bestemmelser om underbehandling — om databehandleren har tilladelse til at engagere yderligere databehandlere, og i så fald under hvilke betingelser og med hvilke underretningskrav.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.2.7 knyttes til følgende GDPR bestemmelser:

  • Artikel 5 (2) — Ansvarlighedsprincippet, som kræver, at dataansvarlige kan påvise overholdelse af reglerne. Skriftlige databehandlerkontrakter er en central ansvarlighedsmekanisme.
  • Artikel 28, stk. 3, litra e) — Databehandlerkontrakter skal kræve, at databehandleren bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32-36 (sikkerhed, anmeldelse af brud, konsekvensanalyser af databeskyttelse og forudgående høring)
  • Artikel 28 (9) — Kontrakten skal være skriftlig, herunder i elektronisk form

GDPR Artikel 28 indeholder yderligere obligatoriske kontraktklausuler ud over, hvad ISO 27701 eksplicit kræver – herunder krav om, at databehandleren kun handler på dokumenterede instruktioner, sikrer fortrolighed for behandlingspersonale, sletter eller returnerer data efter kontraktens udløb og stiller alle nødvendige oplysninger til rådighed for at påvise overholdelse. Organisationer, der sigter mod fuld tilpasning til GDPR, bør sikre, at deres kontrakter dækker alle krav i artikel 28(3).

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter to ISO 29100-privatlivsprincipper:

  • Ansvarlighed — Kontrakter udvider ansvaret for PII-beskyttelse ud over den dataansvarliges egne operationer til dennes databehandlere, hvilket sikrer, at hele behandlingskæden er underlagt regulering.
  • Informationssikkerhed — Kontrakter, der kræver implementering af Tabel A.2 Kontroller sikrer, at databehandlere anvender passende sikkerhedsforanstaltninger på de personoplysninger, de håndterer


ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.2.7 vil revisorer typisk se efter:

  • Processorregister — En komplet liste over alle PII-behandlere, som organisationen har engageret, med de behandlingsaktiviteter, de udfører
  • Underskrevne kontrakter eller databeskyttelsesaftaler — Skriftlige aftaler med hver databehandler, enten som separate databehandleraftaler (DPA'er) eller som klausuler i bredere serviceaftaler
  • Tabel A.2 dækningsanalyse — Dokumentation for, at kontrakten omhandler de relevante databehandlerkontroller fra Tabel A.2enten ved eksplicit henvisning eller ved at inkorporere tilsvarende krav
  • Bestemmelser om underdatabehandlere — Bestemmelser om, hvorvidt og hvordan databehandleren kan engagere yderligere databehandlere, herunder underretnings- og godkendelsesmekanismer
  • Kontraktgennemgangsrapporter — Dokumentation for, at databehandlerkontrakter gennemgås og opdateres regelmæssigt, især når behandlingsaktiviteter ændres, eller standarden opdateres
  • Due diligence-optegnelser — Dokumentation for, at organisationen vurderede databehandlerens evne til at implementere de nødvendige kontroller, inden kontrakten blev indgået

Hvad er de relaterede kontroller?

kontrol Relationship
Tabel A.2 (PII-processorkontroller) De kontroller, der skal behandles i databehandlerkontrakter
A.1.2.6 Vurdering af indvirkning på privatlivets fred PIA'er bør overveje risici, der følger af databehandleraftaler
A.1.5.2 Grundlag for overførsel af personoplysninger mellem jurisdiktioner Deling af personoplysninger med databehandlere er en form for videregivelse, der skal reguleres
A.1.2.8 Fælles PII-controller Hvor et forhold er fælles dataansvarlig snarere end dataansvarlig-databehandler, gælder der andre kontraktkrav.
A.1.2.9 Registrering af behandling af personoplysninger Behandlingsregistre bør identificere, hvilke aktiviteter der involverer databehandlere
ISO 27001 A.5.19–A.5.22 Sikkerhedskontroller for leverandørrelationer i det underliggende ISMS

Hvad har ændret sig fra ISO 27701:2019?

I 2019-udgaven optrådte dette krav som klausul 7.2.6 (kontrakter med PII-behandlere). Kernekravet - skriftlige kontrakter, der omhandler passende kontroller - er uændret. 2025-udgaven styrker kravet ved eksplicit at henvise til Tabel A.2, som giver et klarere og mere struktureret sæt af databehandlerkontroller end 2019-udgavens bilag A. Dette gør det lettere for organisationer at identificere præcis, hvilke kontroller deres kontrakter skal håndtere. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til administration af PII-databehandlerkontrakter?

ISMS.online forenkler hele databehandlerkontraktens livscyklus fra due diligence til løbende compliance-overvågning:

  • Processorregister — Vedligehold et centralt register over alle PII-behandlere med deres behandlingsaktiviteter, kontraktstatus og gennemgangsdatoer samlet ét sted
  • DPA-klausulbibliotek — Præbyggede skabeloner til kontraktklausuler i overensstemmelse med ISO 27701 Tabel A.2 krav og GDPR artikel 28, klar til at blive integreret i dine aftaler
  • Tabel A.2 kortlægning — Identificer automatisk hvilke processorkontroller der gælder for hver behandlingsaftale, hvilket sikrer, at ingen obligatoriske klausuler overses
  • Sporing af underdatabehandlere — Registrer godkendte underdatabehandlere for hver databehandler med advarsler, når nye underdatabehandlere underrettes
  • Påmindelser om kontraktgennemgang — Automatiske notifikationer, når kontrakter skal gennemgås, når behandlingsaktiviteter ændres, eller når standarden opdateres
  • Leverandør due diligence — Integrerede spørgeskemaer til vurdering af processorkapaciteter før kontraktunderskrivelse, med scorede vurderinger og dokumenterede resultater

Ofte Stillede Spørgsmål

Skal alle leverandører have en databehandleraftale?

Kun leverandører, der behandler personoplysninger på dine vegne (dvs. fungerer som databehandlere af personoplysninger), kræver en kontrakt i henhold til A.1.2.7. Leverandører, der leverer tjenester, der ikke involverer adgang til personoplysninger – såsom leverandører af kontorartikler – behøver ikke en databeskyttelsesaftale (DPA). Det centrale spørgsmål er, om leverandøren vil behandle, tilgå eller opbevare personoplysninger som en del af tjenesten. Hvis du er i tvivl, skal du klassificere leverandøren som databehandler og indgå en kontrakt – det er bedre at have en unødvendig databeskyttelsesaftale end at springe en påkrævet over.

Hvad skal vi gøre med underdatabehandlere?

Din kontrakt med hver databehandler bør omfatte underdatabehandling. Almindelige tilgange omfatter: krav om forudgående skriftlig godkendelse for alle underdatabehandlere, krav om underretning med ret til indsigelse eller forhåndsgodkendelse af en navngiven liste over underdatabehandlere. I henhold til GDPR artikel 28 må databehandleren ikke engagere en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. Uanset hvilken tilgang du vælger, skal du sørge for, at kontrakten kræver, at databehandleren pålægger sine underdatabehandlere tilsvarende kontraktlige forpligtelser.

Hvordan håndterer vi databehandlere, der nægter at underskrive vores databeskyttelsesaftale?

Store databehandlere (især SaaS-udbydere) tilbyder ofte deres egen standard databeskyttelsesaftale i stedet for at underskrive din. Dette er generelt acceptabelt, forudsat at deres databeskyttelsesaftale dækker de nødvendige elementer - behandlingens art og formål, typer af personoplysninger, varighed, forpligtelser og de relevante Tabel A.2 kontroller. Gennemgå deres databehandleraftale i forhold til en tjekliste over obligatoriske klausuler. Hvis der er huller, forhandles tillæg eller supplerende vilkår. Hvis en databehandler nægter en skriftlig aftale, der dækker behandling af personoplysninger, bør du ikke bruge den pågældende databehandler – kontrollen kræver eksplicit en skriftlig kontrakt.

Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.