Hvad kræver kontrol A.2.2.5?
Organisationen skal underrette kunden, hvis en behandlingsinstruktion efter dens opfattelse overtræder gældende lovkrav.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og skaber et kritisk sikkerhedsnet. Mens databehandlere generelt handler efter kundens instruktioner (A.2.2.3 Organisationens formål), anerkender denne kontrol, at blindt at følge enhver instruktion kan føre til lovovertrædelser. Hvis en databehandler identificerer, at en instruktion ville være i strid med gældende lov, har vedkommende en forpligtelse til at rejse bekymringen over for kunden i stedet for blot at efterkomme den.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.5) indeholder følgende vejledning:
- Kontekstafhængig kapacitet — Organisationens evne til at verificere, om en instruktion overtræder lovkrav, kan afhænge af den teknologiske kontekst, af selve instruktionen og af kontrakten mellem organisationen og kunden
- Se også A.2.2.4: Markedsføring og reklamebrug for relaterede krav
- Se også A.2.2.7: Optegnelser relateret til behandling af personoplysninger for relaterede krav
Vejledningen anerkender en praktisk realitet: databehandlere er ikke juridiske rådgivere, og deres evne til at identificere krænkende instruktioner vil variere. En databehandler med dybdegående domæneekspertise inden for sundhedsdata kan være godt placeret til at identificere instruktioner, der overtræder sundhedsdatareglerne, mens en generel cloududbyder måske ikke gør det. Kvalificeringen "efter sin mening" anerkender denne begrænsning - forpligtelsen er at markere bekymringer, ikke at give en endelig juridisk analyse.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.5 knyttes til følgende GDPR artikel:
- Artikel 28(3)(h) — Databehandleren skal straks underrette den dataansvarlige, hvis en instruktion efter dennes opfattelse overtræder GDPR eller andre EU- eller medlemsstatsbestemmelser om databeskyttelse
Artikel 28(3)(h) i GDPR gør dette til en eksplicit juridisk forpligtelse for databehandlere, der opererer i henhold til EU-retten. GDPR tilføjer ordet "straks" for at understrege, hvor presserende underretningskravet er.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.5 som en selvstændig kontrol med præcis, men klar implementeringsvejledning i B.2.2.5. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.5 vil revisorer typisk se efter:
- Eskaleringsprocedure — En dokumenteret procedure for personale til at give udtryk for bekymringer, når de mener, at en kundeinstruktion kan overtræde gældende lovkrav
- Meddelelsesoptegnelser — Registrering af tilfælde, hvor databehandleren har informeret en kunde om, at en instruktion kan være i strid med loven, herunder den pågældende instruktion, den rejste bekymring, kundens svar og resultatet
- Juridisk bevidsthed — Dokumentation for, at nøglepersonale har tilstrækkelig forståelse af gældende databeskyttelseslovgivning til at identificere potentielt krænkende instruktioner
- Kontraktvilkår — Kontraktklausuler, der fastslår databehandlerens ret og pligt til at markere krænkende instruktioner, og som beskytter databehandleren mod ansvar for at nægte at efterkomme ulovlige instruktioner
- Træningsrekorder — Træning i medarbejdernes bevidsthed om forpligtelsen til at markere potentielt ulovlige instruktioner
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.3 Organisationens formål | Instruktioner, der udvider formål ud over det lovlige, bør markeres. |
| A.2.2.2 Kundeaftale | Kontrakten bør omfatte databehandlerens forpligtelse til at markere krænkende instruktioner. |
| A.3.13 Juridiske og regulatoriske krav | Forståelse af gældende lovkrav er en forudsætning for at identificere overtrædelser |
| A.2.2.6 Kundens forpligtelser | Markering af krænkende instruktioner hjælper kunden med at opfylde sine egne compliance-forpligtelser |
| A.3.17 Bevidstgørelse og træning | Personalet har brug for træning i at genkende potentielt krænkende instruktioner |
Hvem gælder denne kontrol for?
A.2.2.5 gælder udelukkende for PII-processorerDet forpligter databehandleren til proaktivt at markere bekymringer om lovligheden af kundeinstruktioner. Dette gør ikke databehandleren til juridisk rådgiver, men det kræver, at databehandleren udøver rimelig dømmekraft baseret på sin viden og ekspertise. Kontrollen gælder for alle kundeinstruktioner, uanset om de gives ved kontraktens indgåelse, under engagementet eller som ad hoc-anmodninger.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af complianceforpligtelser?
ISMS.online giver praktiske værktøjer til at håndtere din forpligtelse til at markere krænkende instruktioner:
- Eskaleringsarbejdsgange — Opret dokumenterede eskaleringsprocedurer, så personale kan rejse bekymringer om kundeinstruktioner, med revisionsspor og sporing af løsninger
- Meddelelsesregister — Vedligehold et register over alle meddelelser sendt til kunder om potentielt krænkende instruktioner, herunder instruktionen, bekymringen, reaktionen og resultatet
- Sporing af juridiske krav — Spor gældende juridiske krav på tværs af jurisdiktioner, så dit team ved, hvilke regler de skal være opmærksomme på, når de vurderer kundeinstruktioner
- Træningsledelse — Levere og følge op på træning i genkendelse af krænkende instruktioner med kompetencevurdering
- Kontraktstyring — Sørg for, at dine kontraktskabeloner indeholder klausuler, der omhandler retten og pligten til at markere krænkende instruktioner
Ofte Stillede Spørgsmål
Hvad skal databehandleren gøre, hvis kunden insisterer på instruktionen?
Hvis kunden insisterer på en instruktion, som databehandleren mener overtræder gældende lov, har databehandleren opfyldt sin forpligtelse ved at informere kunden. Databehandleren bør dokumentere underretningen og kundens svar. Databehandleren bør dog ikke blindt efterkomme: bevidst deltagelse i ulovlig behandling kan udsætte databehandleren for sit eget juridiske ansvar. I alvorlige tilfælde kan databehandleren være nødt til at søge juridisk rådgivning og kan i sidste ende være nødt til at afvise instruktionen eller opsige kontrakten, afhængigt af alvoren af den potentielle overtrædelse.
Skal databehandleren proaktivt overvåge for overtrædelser?
Kontrollen kræver, at databehandleren informerer kunden, når en instruktion efter dennes opfattelse overtræder loven. Dette indebærer et rimeligt niveau af bevidsthed snarere end omfattende juridisk overvågning. Vejledningen anerkender, at databehandlerens evne til at verificere overtrædelser afhænger af kontekst, instruktionen og kontrakten. Databehandlere forventes ikke at udføre juridiske revisioner af hver instruktion, men bør markere bekymringer, der opstår som følge af normal forretningsdrift og professionel vurdering.
Hvor hurtigt skal databehandleren underrette kunden?
ISO 27701:2025 angiver ikke en tidsramme, men GDPR artikel 28(3)(h) kræver øjeblikkelig underretning. Bedste praksis er at underrette kunden, så snart problemet er identificeret, inden instruktionen udføres. Dette giver kunden mulighed for at genoverveje instruktionen, søge juridisk rådgivning eller give afklaring, før enhver potentiel krænkende behandling finder sted.
SaaS-organisationer står over for unikke processorudfordringer – se vores vejledning til SaaS-platforme.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer forventer i forbindelse med databehandlerkontroller.
