Hvad kræver kontrol A.2.2.6?
Organisationen skal give kunden de relevante oplysninger, således at kunden kan påvise overholdelse af sine forpligtelser.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler et grundlæggende aspekt af forholdet mellem databehandler og dataansvarlig: den dataansvarliges evne til at påvise ansvarlighed. Dataansvarlige er forpligtet ved lov (herunder GDPR Artikel 5(2)) for at påvise overholdelse af databeskyttelsesprincipperne, men de kan ikke gøre dette uden information fra deres databehandlere om, hvordan personoplysninger håndteres. Denne kontrol sikrer, at databehandlere ikke bliver en sort boks.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.6) indeholder følgende vejledning:
- Revisionsstøtte — De oplysninger, som kunden har brug for, kan omfatte, om organisationen tillader og bidrager til revisioner, der udføres af kunden eller en anden revisor, som kunden har bemyndiget eller på anden måde har aftalt.
- Se også A.2.2.3: Organisationens formål for relaterede krav
- Se også A.2.2.4: Markedsføring og reklamebrug for relaterede krav
Vejledningen fremhæver specifikt revisionsrettigheder som en central mekanisme til at demonstrere overholdelse af regler. Dette kan antage flere former: revisioner på stedet udført af kunden, tredjepartsrevisioner pålagt af kunden, certificering i henhold til anerkendte standarder (såsom ISO 27701) eller levering af revisionsrapporter, SOC 2-rapporter eller anden dokumentation for overholdelse efter anmodning.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.6 knyttes til følgende GDPR artikel:
- Artikel 28(3)(h) — Databehandleren skal stille alle oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i artikel 28, og give mulighed for og bidrage til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller en anden revisor, der er bemyndiget af den dataansvarlige.
Artikel 28(3)(h) i GDPR gør dette til en obligatorisk kontraktlig forpligtelse, der kræver, at databehandlere stiller complianceoplysninger til rådighed og aktivt støtter dataansvarliges revisioner. Dette er ikke valgfrit – det er et juridisk krav for databehandlere, der opererer under GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.6 som en selvstændig kontrol med implementeringsvejledning i B.2.2.6, der specifikt fremhæver revisionsstøtte som en nøglekomponent. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.6 vil revisorer typisk se efter:
- Informationsforsyningskapacitet — Dokumentation for, at organisationen kan give kunderne relevante compliance-oplysninger efter anmodning, såsom behandlingsregistre, dokumentation af sikkerhedsforanstaltninger og oplysninger om underdatabehandlere
- Mekanismer for revisionsstøtte — En dokumenteret tilgang til at understøtte kundeaudits, hvad enten det er gennem besøg på stedet, tredjepartscertificeringer, delte revisionsrapporter eller spørgeskemabesvarelser
- Overholdelsesrapportering — Regelmæssige compliancerapporter eller dashboards leveret til kunder, der demonstrerer løbende overholdelse af kontraktlige og juridiske forpligtelser
- Kontraktvilkår — Kontraktbestemmelser, der definerer omfanget, hyppigheden og formatet af de compliance-oplysninger, der skal gives
- Svaroptegnelser — Registrering af anmodninger om compliance-oplysninger modtaget fra kunder og de afgivne svar
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.2 Kundeaftale | Kontrakten definerer, hvilke complianceoplysninger databehandleren skal give |
| A.2.2.7 Forarbejdningsregistre | Behandlingsregistre er en vigtig kilde til compliance-oplysninger for kunder |
| A.3.15 Uafhængig gennemgang | Resultater af uafhængige revisioner kan deles med kunder som dokumentation for overholdelse af regler |
| A.3.14 Beskyttelse af optegnelser | Overholdelsesregistre skal opbevares sikkert og stilles til rådighed, når det er nødvendigt |
| A.2.5.7 Oplysninger om underleverandører | Information om underleverandører er et centralt element i gennemsigtighed i forbindelse med overholdelse af regler |
Hvem gælder denne kontrol for?
A.2.2.6 gælder udelukkende for PII-processorerDen anerkender, at dataansvarlige er afhængige af deres databehandlere for at få de oplysninger, der er nødvendige for at påvise overholdelse af reglerne. Uden disse oplysninger kan den dataansvarlige ikke opfylde sine ansvarlighedsforpligtelser. Databehandlere, der nægter at give compliance-oplysninger eller modsætter sig revisionsanmodninger, gør det umuligt for deres kunder at overholde databeskyttelseslovgivningen.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til support af kundecompliance?
ISMS.online tilbyder praktiske værktøjer til at understøtte dine kunders compliance-forpligtelser:
- Pakker med dokumentation for overholdelse — Generer præfabrikerede dokumentationspakker til kunder, der indeholder behandlingsregistre, sikkerhedsforanstaltninger, certificeringsstatus og oplysninger om underdatabehandlere
- Revisionsledelse — Administrer kundeanmodninger om revision med planlægning, dokumentdeling og sporing samlet ét sted
- Certificeringsstyring — Spor og del dine ISO 27701-, ISO 27001- og andre certificeringer med kunder som bevis på overholdelse af reglerne
- Spørgeskemahåndtering — Besvar kundernes spørgeskemaer om sikkerhed og privatliv effektivt med præbyggede svarbiblioteker
- Gennemsigtighedsdashboards — Giv kunderne indsigt i jeres compliance-situation gennem delte dashboards og rapporter
Ofte Stillede Spørgsmål
Hvilke oplysninger skal databehandlere stille til rådighed for kunderne?
Databehandlere bør være forberedte på at give: oplysninger om behandlingsaktiviteter udført på vegne af kunden; implementerede sikkerhedsforanstaltninger; oplysninger om underdatabehandlere og kontrakter; procedurer for underretning om brud; dataoverførselsmekanismer; procedurer for dataopbevaring og -sletning; personaleuddannelsesregistre; og resultaterne af sikkerhedsrevisioner eller penetrationstests. De specifikke nødvendige oplysninger bør defineres i databehandleraftalen og bør være tilstrækkelige til, at kunden kan påvise overholdelse af sine egne forpligtelser.
Kan en databehandler opkræve betaling for revisionssupport?
Dette afhænger af kontraktvilkårene. GDPR kræver, at databehandleren "tillader og bidrager til revisioner", men forbyder ikke rimelige gebyrer for den involverede tid og de involverede ressourcer. Mange databehandlere inkluderer et vist antal revisionsdage eller spørgeskemabesvarelser pr. år i deres servicegebyrer, med yderligere support tilgængelig til en aftalt pris. Hvad databehandlere ikke kan gøre, er at afvise eller urimeligt hindre revisionsanmodninger. Tilgangen bør være transparent og aftalt på forhånd i kontrakten.
Kan certificeringer erstatte kundeaudits?
Certificeringer som ISO 27701 eller SOC 2-rapporter kan reducere behovet for individuelle kundeaudits betydeligt ved at give uafhængig sikkerhed for overholdelse af reglerne. Mange kunder accepterer aktuelle certificeringer som tilstrækkeligt bevis. Certificeringer udelukker dog ikke kundens ret til revision i henhold til GDPR artikel 28(3)(h). Den praktiske tilgang er at tilbyde certificeringer som den primære bevismekanisme med mulighed for yderligere kundespecifikke revisioner, hvor kunden har brug for dem.
SaaS-organisationer står over for unikke processorudfordringer – se vores vejledning til SaaS-platforme.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer forventer i forbindelse med databehandlerkontroller.
