Hvad kræver kontrol A.2.2.7?
Organisationen skal fastlægge og vedligeholde de nødvendige optegnelser til støtte for at påvise overholdelse af sine forpligtelser (som specificeret i den gældende kontrakt) i forbindelse med behandling af personoplysninger udført på vegne af en kunde.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og fastlægger databehandlerens egne forpligtelser til at føre journal. Mens A.2.2.6 Kundens forpligtelser kræver, at databehandleren hjælper kunder med at påvise overholdelse af reglerne, kræver A.2.2.7, at databehandleren fører registre til brug for sin egen ansvarlighed. Disse registre skal vise, at databehandleren har overholdt sine kontraktlige forpligtelser og gældende juridiske krav.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.7) indeholder følgende vejledning:
- Jurisdiktionelle krav — Nogle jurisdiktioner kan kræve, at organisationen registrerer oplysninger såsom:
- Kategorier af behandling udført på vegne af hver kunde
- Overførsler til tredjelande eller internationale organisationer
- En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
- Se også A.2.2.2: Kundeaftale for relaterede krav
- Se også A.2.2.4: Markedsføring og reklamebrug for relaterede krav
Vejledningen afspejler direkte GDPR Krav i henhold til artikel 30(2) om databehandlerregistreringer over behandlingsaktiviteter. Mens ISO-standarden definerer disse som jurisdiktionskrav, vil organisationer, der opererer under GDPR, anerkende dem som obligatoriske forpligtelser til at føre registre.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.7 knyttes til følgende GDPR artikler:
- Artikel 30 (2) (a) — Navn og kontaktoplysninger på hver databehandler, på hver dataansvarlig, på hvis vegne databehandleren handler, og på den dataansvarliges eller databehandlerens repræsentant og databeskyttelsesrådgiver
- Artikel 30 (2) (b) — De kategorier af behandling, der udføres på vegne af hver dataansvarlig
- Artikel 30 (3) — Optegnelser skal være skriftlige, herunder i elektronisk form
- Artikel 30 (4) — Databehandleren skal stille registret til rådighed for tilsynsmyndigheden efter anmodning
- Artikel 30 (5) — Undtagelse for organisationer med færre end 250 ansatte, medmindre behandlingen sandsynligvis vil medføre en risiko, ikke er lejlighedsvis eller omfatter særlige kategorier af data
Artikel 30(2) i GDPR indeholder en specifik minimumsliste over, hvad databehandlerregistreringer skal indeholde. Organisationer bør behandle dette som en bundgrænse, ikke et loft.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.7 som en selvstændig kontrol med implementeringsvejledning i B.2.2.7, der tydeligt angiver de jurisdiktionelle krav til registrering. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.7 vil revisorer typisk se efter:
- Registrering af behandlingsaktiviteter — Et vedligeholdt register over behandlingsaktiviteter udført på vegne af hver kunde, herunder behandlingskategorier, datatyper og formål
- Overfør poster — Dokumentation for eventuelle overførsler af personoplysninger til tredjelande eller internationale organisationer, herunder retsgrundlaget for hver overførsel
- Dokumentation af sikkerhedsforanstaltninger — En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er indført for behandling af personoplysninger
- Kontaktoplysninger — Opbevarede registre over kontaktoplysninger for databehandler, dataansvarlig, repræsentant og databeskyttelsesrådgiver for hver behandlingsaftale
- Procedure for vedligeholdelse af journaler — En dokumenteret proces til at holde registre opdaterede, herunder gennemgangsplaner og opdateringsudløsere
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.6 Kundens forpligtelser | Behandlingsregistre understøtter de oplysninger, der gives til kunderne med henblik på deres overholdelse af reglerne |
| A.2.2.3 Organisationens formål | Registreringer skal vise, at behandlingen er i overensstemmelse med dokumenterede kundeformål. |
| A.1.2.9 Registreringer (dataansvarlig) | Den dataansvarliges ækvivalent til krav til behandling af registre |
| A.3.14 Beskyttelse af optegnelser | Behandlingsregistreringer skal opbevares sikkert og beskyttes mod uautoriseret ændring |
| A.2.5.2 Grundlag for overførsel af personoplysninger | Grænseoverskridende overførselsregistre er en central del af behandlingen af registre |
Hvem gælder denne kontrol for?
A.2.2.7 gælder udelukkende for PII-processorerDet skaber en uafhængig forpligtelse til registrering for databehandlere, adskilt fra den dataansvarliges egne krav til registrering i henhold til A.1.2.9 Registrering af behandling af personoplysningerI henhold til GDPR finder undtagelsen for små virksomheder i artikel 30(5) sjældent anvendelse i praksis, fordi det meste af behandlingen ikke er reelt "lejlighedsvis", og mange databehandlere håndterer særlige kategorier af data. Databehandlere bør derfor føre registre uanset organisationens størrelse.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til behandling af journalstyring?
ISMS.online giver praktiske værktøjer til at føre databehandlerregistre over behandlingsaktiviteter:
- Behandlingsregister — Vedligehold et centralt, struktureret register over alle behandlingsaktiviteter pr. kunde, med dokumenterede kategorier, datatyper, formål og sikkerhedsforanstaltninger
- Overførselssporing — Registrer og overvåg grænseoverskridende PII-overførsler med dokumentation af retsgrundlag og sporing af destinationsland
- Automatiske påmindelser — Planlæg periodiske journalgennemgange med automatiske påmindelser for at sikre, at journalerne forbliver aktuelle og nøjagtige
- Tilsynsmyndighedens beredskab — Generer poster i et format, der er egnet til anmodninger fra tilsynsmyndigheder, og som opfylder forpligtelserne i henhold til artikel 30(4) i GDPR
- Versionshistorik — Vedligehold en komplet versionshistorik over behandlingsregistreringer, der viser, hvordan behandlingsordninger har ændret sig over tid
Ofte Stillede Spørgsmål
Hvad skal databehandlerregistreringer indeholde?
I henhold til GDPR artikel 30(2) skal databehandlerregistre indeholde: navn og kontaktoplysninger på hver databehandler og hver dataansvarlig, som denne agerer på vegne af, samt deres repræsentanter og databeskyttelsesrådgivere, hvor det er relevant; kategorierne af behandling, der udføres på vegne af hver dataansvarlig; overførsler til tredjelande eller internationale organisationer, herunder retsgrundlaget; og en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger. Bedste praksis udvider dette til at omfatte de typer af personoplysninger, der behandles, retsgrundlaget for behandlingen, oplysninger om underdatabehandlere og opbevaringsperioder.
Hvor ofte skal optegnelser opdateres?
Registre bør opdateres, når der sker en væsentlig ændring i behandlingsordninger, såsom en ny kunde, en ændring i behandlingskategorier, en ny underdatabehandler, en ny grænseoverskridende overførsel eller en ændring i sikkerhedsforanstaltninger. Derudover bør registreringer gennemgås regelmæssigt (mindst årligt) for at kontrollere, at de forbliver nøjagtige og fuldstændige. Mange organisationer integrerer registreringsopdateringer i deres ændringsstyringsprocesser for at sikre, at opdateringer sker i realtid.
Skal databehandlere med færre end 250 ansatte føre registre?
Artikel 30(5) i GDPR giver en begrænset undtagelse for organisationer med færre end 250 ansatte, men den gælder kun, hvis behandlingen sandsynligvis ikke vil medføre en risiko for de registrerede, er lejlighedsvis og ikke omfatter særlige kategorier af data eller data om strafbare handlinger. I praksis falder de fleste databehandlere uden for denne undtagelse, fordi deres behandling er regelmæssig (ikke lejlighedsvis) og kan involvere datatyper, der udløser undtagelsen. ISO 27701 indeholder ikke en lignende undtagelse, så alle databehandlere, der søger certificering, bør føre registre uanset størrelse.
Se vores vejledning om krav til revisionsbeviser for den komplette liste over de dokumenter, som revisorer forventer af databehandlere.
