Hvad kræver kontrol A.2.2.2?
Organisationen skal, hvor det er relevant, sikre, at kontrakten om behandling af personoplysninger omhandler organisationens rolle i at yde bistand til kundens forpligtelser (under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for organisationen).
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og fastlægger det kontraktlige grundlag for forholdet mellem databehandler og dataansvarlig. Det kræver, at databehandlere går ud over blot at behandle data for aktivt at bistå dataansvarlige med deres forpligtelser – såsom anmeldelse af brud, registreredes rettigheder, konsekvensanalyser af databeskyttelse og sikkerhedsforanstaltninger. Kontrakten skal definere disse bistandsforpligtelser klart.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.2) indeholder følgende vejledning om, hvad kontrakten bør indeholde:
- Privatliv gennem design og privatliv som standard — Kontrakten bør omhandle databehandlerens rolle i at understøtte principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
- Sikkerhed ved behandling — Kontrakten bør dække, hvordan databehandleren vil bidrage til at opnå passende sikkerhedsforanstaltninger
- Underretning af brud til tilsynsmyndighederne — Kontrakten bør definere databehandlerens forpligtelser til at underrette den dataansvarlige om brud på personoplysninger, så den dataansvarlige kan opfylde sine underretningsforpligtelser.
- Underretning om brud til kunder og PII-principper — Kontrakten bør indeholde oplysninger om, hvordan databehandleren vil bistå den dataansvarlige med at underrette berørte personer
- Vurdering af privatlivets fred — Kontrakten bør omfatte databehandlerens rolle i udførelsen af eller bidraget til DPIA'er
- Forudgående konsultation — Kontrakten bør dække bistand, hvis den dataansvarlige har brug for at konsultere myndigheder med beskyttelse af personoplysninger
- Se også A.2.2.4: Markedsføring og reklamebrug for relaterede krav
- Se også A.2.2.5: Krænkende instruktion for relaterede krav
Nogle jurisdiktioner kræver, at kontrakten også omfatter behandlingens genstand og varighed, behandlingens art og formål, typen af personoplysninger og kategorierne af personoplysninger.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.2 knyttes til følgende GDPR artikler:
- Artikel 28, stk. 3, litra e) — Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelser vedrørende sikkerhed, anmeldelse af brud, konsekvensanalyser af databeskyttelse og forudgående høring.
- Artikel 28, stk. 3, litra f) — Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af sikkerheds-, brudsmeddelelses-, databeskyttelseskonsekvensanalyser og forudgående høringsforpligtelser, under hensyntagen til behandlingens art og de tilgængelige oplysninger.
- Artikel 28 (9) — Kontrakten skal være skriftlig, herunder elektronisk
- Artikel 35 (1) — Hvor behandling sandsynligvis vil resultere i en høj risiko, kræves en DPIA, og databehandleren bør bistå
GDPR Artikel 28 er det primære retsgrundlag for databehandlerkontrakter, og A.2.2.2 giver en struktureret måde at sikre, at kontrakter opfylder disse krav.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.2 som en selvstændig kontrol med klarere implementeringsvejledning i B.2.2.2, der eksplicit angiver de seks områder, som kontrakten skal dække. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.2 vil revisorer typisk se efter:
- Databehandleraftaler — Underskrevne kontrakter med kunder, der omfatter alle seks områder, der er specificeret i implementeringsvejledningen
- Kontrakt skabeloner — Standardkontraktskabeloner eller -klausuler, som organisationen bruger til at sikre konsistens på tværs af kundeaftaler
- Assistancekapacitet — Dokumentation for, at organisationen har den operationelle kapacitet til at yde den bistand, der er beskrevet i kontrakten (f.eks. procedurer for anmeldelse af brud på betingelserne i kontrakten, støtteprocesser for konsekvensanalyse af databeskyttelse)
- Kontraktgennemgangsproces — En dokumenteret proces til gennemgang af kontrakter for at sikre, at forpligtelserne til beskyttelse af personoplysninger er tilstrækkeligt opfyldt
- Jurisdiktionsoverholdelse — Dokumentation for, at kontrakter indeholder jurisdiktionspecifikke krav, hvor det er relevant (f.eks. emne, varighed, PII-typer)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.3 Organisationens formål | Kontrakten definerer de formål, hvortil PII må behandles |
| A.2.2.6 Kundens forpligtelser | Databehandleren skal give oplysninger, der kan hjælpe kunden med at påvise overholdelse af reglerne |
| A.1.2.7 Kontrakter med PII-behandlere | Den dataansvarliges ækvivalent til databehandlerkontraktkrav |
| A.3.11 Planlægning af hændelseshåndtering | Forpligtelser til bistand ved anmeldelse af brud afhænger af kapaciteten til håndtering af hændelser |
| A.2.5.8 Inddragelse af underleverandør | Underleverandøraftaler skal være i overensstemmelse med kundens kontraktvilkår |
Hvem gælder denne kontrol for?
A.2.2.2 gælder udelukkende for PII-processorerDet pålægger databehandleren en forpligtelse til at sikre, at kontrakten i tilstrækkelig grad opfylder databehandlerens rolle som bistandsperson. Mens den dataansvarlige typisk udarbejder databehandleraftalen, har databehandleren en uafhængig forpligtelse til at verificere, at kontrakten dækker de krævede områder, og til at påpege eventuelle mangler.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til administration af databehandleraftaler?
ISMS.online tilbyder praktiske værktøjer til håndtering af kundeaftaler som PII-behandler:
- Kontraktregister — Vedligehold et centralt register over alle databehandleraftaler med gennemgangsdatoer, compliancestatus og tilknyttede forpligtelser
- Kontrakt skabeloner — Brug præbyggede DPA-skabeloner, der omfatter alle seks områder angivet i B.2.2.2, og som kan tilpasses din organisations tjenester
- Forpligtelsessporing — Spor de specifikke assistanceforpligtelser i hver kundekontrakt med opgavetildelinger og statusovervågning
- Gennemgå planlægning — Planlæg periodiske kontraktgennemgange med automatiske påmindelser for at sikre, at aftalerne forbliver gyldige
- Bevis for overholdelse — Opbevar underskrevne aftaler, gennemgå optegnelser og dokumentation af kapacitet i et struktureret, revisionsklart format
Ofte Stillede Spørgsmål
Hvad sker der, hvis kundens kontrakt ikke dækker alle nødvendige områder?
Databehandleren har en forpligtelse til at sikre, at kontrakten opfylder sin bistandsrolle. Hvis kunden leverer en kontrakt, der mangler nødvendige elementer, bør databehandleren markere manglerne og anmode om ændringer. Det er ikke tilstrækkeligt, at databehandleren blot underskriver en ufuldstændig kontrakt — A.2.2.2 pålægger databehandleren en forpligtelse til at verificere dækningen. Hvis kunden ikke er villig til at ændre kontrakten, bør databehandleren dokumentere manglerne og risikoen og overveje, om det er passende at indgå aftalen.
Er der krav om en separat databehandleraftale, eller kan der inkluderes vilkår i den primære serviceaftale?
Begge tilgange er acceptable. Hovedkravet er, at vilkårene for behandling af personoplysninger er dokumenteret skriftligt (herunder elektronisk) og er klart identificerbare. Mange organisationer bruger en separat databeskyttelsesaftale som et bilag eller en tillægsaftale til den primære serviceaftale, hvilket gør det lettere at gennemgå og opdatere PII-specifikke vilkår uden at genforhandle hele kontrakten. Formatet betyder mindre end fuldstændigheden og klarheden af forpligtelserne.
Hvordan bør databehandleren afgrænse sine assistanceforpligtelser?
Kontrollen specificerer, at bistand skal tage hensyn til "behandlingens art og de oplysninger, der er tilgængelige for organisationen". Det betyder, at databehandlerens bistandsforpligtelser skal stå i forhold til dennes rolle. En databehandler, der kun lagrer krypterede data, kan have begrænset mulighed for at bistå med f.eks. anmodninger om indsigt fra registrerede. Kontrakten bør klart definere omfanget og begrænsningerne af bistanden og undgå åbne forpligtelser, som databehandleren ikke i praksis kan opfylde.
Indkøbsteams kræver i stigende grad ISO 27701-certificering — se vores vejledning om indkøbskrav og vejledning til leverandørevaluering.
SaaS-platforme kan finde skræddersyet kontraktvejledning i vores vejledning til SaaS-platforme.
