Hvad kræver kontrol A.2.3.2?
Organisationen skal give kunden midlerne til at overholde sine forpligtelser i forbindelse med personoplysninger.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og adresserer en kritisk praktisk udfordring: Dataansvarlige har juridiske forpligtelser over for registrerede (såsom at besvare anmodninger om adgang, rette data og slette data), men de kan ikke opfylde disse forpligtelser, hvis deres databehandlere ikke stiller de nødvendige kapaciteter til rådighed. A.2.3.2 pålægger databehandleren en forpligtelse til at sikre, at de tekniske og organisatoriske midler til at opfylde den registreredes rettigheder er tilgængelige.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.3.2) indeholder følgende vejledning:
- Forpligtelser er defineret ved lov eller kontrakt — En PII-dataansvarligs forpligtelser kan defineres ved lovkrav eller ved kontrakt. Disse forpligtelser kan omfatte forhold, hvor kunden bruger organisationens tjenester til implementering
- Praktiske eksempler — Dette kan f.eks. omfatte rettelse eller sletning af personoplysninger rettidigt
- Kontraktspecifikation — Hvis en kunde er afhængig af organisationen for information eller tekniske foranstaltninger, der skal gøre det muligt at opfylde forpligtelserne over for PII-opdragsgivere, bør de relevante oplysninger eller tekniske foranstaltninger specificeres i en kontrakt.
- Se også A.2.4.2: Midlertidige filer for relaterede krav
- Se også A.2.4.4: PII-transmissionskontroller for relaterede krav
Vejledningen gør det klart, at dette ikke er en abstrakt forpligtelse – databehandlere skal stille konkrete funktioner til rådighed, såsom muligheden for at hente, eksportere, rette og slette individuelle PII-registreringer efter anmodning. Disse funktioner bør defineres i kontrakten, så begge parter forstår, hvad databehandleren vil levere.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.3.2 knyttes til følgende GDPR artikler:
- Artikel 15 (3) — Retten til indsigt, herunder retten til at få en kopi af de personoplysninger, der er under behandling
- Artikel 17 (2) — Den dataansvarliges forpligtelse til at underrette andre dataansvarlige, der behandler oplysningerne, om den registreredes anmodning om sletning
- Artikel 28, stk. 3, litra e) — Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelser vedrørende den registreredes rettigheder (artikel 15-22)
GDPR Artikel 28(3)(e) kræver eksplicit, at databehandlere bistår dataansvarlige med alle registreredes rettigheder: adgang (artikel 15), berigtigelse (artikel 16), sletning (artikel 17), begrænsning (artikel 18), dataportabilitet (artikel 20) og indsigelse (artikel 21). Databehandleren skal have kapacitet til at understøtte hver af disse rettigheder.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.3.2 som en selvstændig kontrol med implementeringsvejledning i B.2.3.2, der inkluderer praktiske eksempler og understreger kontraktlig specifikation af databehandlerens forpligtelser. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.3.2 vil revisorer typisk se efter:
- Rettigheder for den registrerede — Dokumentation for, at organisationens systemer og processer kan understøtte alle relevante rettigheder for den registrerede: adgang, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse
- Kontraktbestemmelser — Kontraktbestemmelser, der specificerer de tekniske og organisatoriske foranstaltninger, som databehandleren træffer for at understøtte opfyldelsen af den registreredes rettigheder
- Procedurer for håndtering af anmodninger — Dokumenterede procedurer for håndtering af anmodninger om registreredes rettigheder fremsendt af kunder, herunder svarfrister
- Teknisk kapacitet — Dokumentation for tekniske muligheder såsom dataeksportfunktioner, sletning af individuelle poster, datakorrektionsværktøjer og revisionsspor for foretagne ændringer
- Svaroptegnelser — Registrering af anmodninger om rettigheder for registrerede modtaget fra kunder og de trufne handlinger, der dokumenterer rettidig og fuldstændig opfyldelse
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.2 Kundeaftale | Kontrakten bør specificere databehandlerens forpligtelser til at opfylde de registreredes rettigheder. |
| A.1.3.7 Adgang, rettelse eller sletning | De rettigheder på dataansvarligssiden, som databehandleren skal aktivere |
| A.1.3.10 Håndtering af anmodninger | Den registeransvarliges anmodningshåndteringsproces afhænger af processorunderstøttelse |
| A.2.4.3 Returnering, overførsel eller bortskaffelse | Dataportabilitet og sletningsfunktioner understøtter den registreredes rettigheder |
| A.2.2.6 Kundens forpligtelser | At understøtte de registreredes rettigheder er en central del af at hjælpe kunder med at demonstrere overholdelse af regler |
Hvem gælder denne kontrol for?
A.2.3.2 gælder udelukkende for PII-processorerDen anerkender, at dataansvarlige ikke kan opfylde deres forpligtelser over for de registrerede uden databehandlerens samarbejde. Hvis en databehandlers systemer ikke understøtter hentning, rettelse eller sletning af individuelle registreringer, er den dataansvarlige ude af stand til at svare på anmodninger fra de registrerede – hvilket er en manglende overholdelse af reglerne for den dataansvarlige, men en kontraktlig og potentielt juridisk mangel for databehandleren.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online for at understøtte PII-principalrettigheder?
ISMS.online tilbyder praktiske værktøjer til at understøtte den registreredes rettigheder som databehandler:
- Anmodningshåndtering — Spor og administrer anmodninger om registreredes rettigheder modtaget fra kunder med workflowstyring, tildelings- og deadlinesporing
- Dokumentation af kapacitet — Dokumentér dine rettigheder for den registrerede pr. tjeneste eller system, og vis kunderne præcis, hvad du kan understøtte
- Svarsporing — Log svar på hver anmodning med tidsstempler, udførte handlinger og beviser, hvilket skaber et komplet revisionsspor
- SLA-overvågning — Overvåg svartider i forhold til kontraktlige SLA'er, med advarsler for anmodninger, der nærmer sig deres deadline
- Evidenshåndtering — Opbevar dokumentation for håndtering af anmodninger i et struktureret format med henblik på revisionsberedskab og kunderapportering
Ofte Stillede Spørgsmål
Hvilke rettigheder for registrerede skal databehandlere understøtte?
I henhold til GDPR skal databehandlere kunne bistå dataansvarlige med: retten til indsigt (hentning og eksport af en persons data); retten til berigtigelse (korrigering af unøjagtige data); retten til sletning (sletning af en persons data); retten til begrænsning af behandling (markering af data for at begrænse deres brug); retten til dataportabilitet (levering af data i et struktureret, maskinlæsbart format); og retten til at gøre indsigelse (ophør af behandling af specifikke data). Databehandlerens systemer bør være designet til at understøtte alle disse rettigheder for individuelle registre.
Hvem reagerer over for de registrerede – den dataansvarlige eller databehandleren?
Den dataansvarlige er ansvarlig for at svare de registrerede. Databehandleren stiller midlerne til rådighed for den dataansvarlige til at opfylde anmodningen. Hvis en registreret kontakter databehandleren direkte, skal databehandleren omdirigere anmodningen til den relevante dataansvarlige (medmindre andet er angivet i kontrakten). Databehandleren bør ikke kommunikere direkte med de registrerede om deres rettigheder, medmindre den dataansvarlige har givet tilladelse til det.
Hvad sker der, hvis databehandleren teknisk set ikke kan opfylde en anmodning?
Hvis databehandlerens systemer ikke kan understøtte en bestemt registrerets rettighed (f.eks. detaljeret sletning af individuelle registreringer fra backupsystemer), skal denne begrænsning oplyses til kunden, inden kontrakten indgås. Kontrakten skal tydeligt angive, hvad databehandleren kan og ikke kan gøre, og hvilke løsninger der er tilgængelige. Design af systemer, der understøtter registreredes rettigheder fra starten (A.3.29 Sikker systemarkitektur) er betydeligt nemmere og billigere end at eftermontere denne funktion senere.
Vores vejledning om krav til revisionsbeviser beskriver, hvad databehandlere skal dokumentere i henhold til de registreredes forpligtelser.
