Hvad kræver kontrol A.2.5.4?
Organisationen skal registrere videregivelser af personoplysninger til tredjeparter, herunder hvilke personoplysninger der er blevet videregivet, til hvem og hvornår.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler ansvarlighed for datadeling med tredjeparter. Hver gang en databehandler videregiver personoplysninger til en tredjepart, uanset om det er til en underleverandør, en juridisk myndighed, en revisor eller en anden modtager, skal der oprettes en registrering. Denne registrering skal indeholde omfanget af de videregivne data, modtagerens identitet og datoen for videregivelsen.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.4) indeholder følgende vejledning:
- Normal drift — Registrering af oplysninger foretaget under normale behandlingsprocesser, såsom overførsler til underleverandører eller datareturneringer til kunder
- Ikke-rutinemæssige oplysninger — Registrer også yderligere oplysninger, der stammer fra juridiske undersøgelser eller eksterne revisioner
- Kilde og autoritet — Registreringerne skal indeholde kilden til videregivelsen (hvem der initierede den) og myndighedskilden (hvilket juridisk eller kontraktligt grundlag der godkendte den)
- Se også A.2.5.2: Grundlag for overførsel af personoplysninger mellem jurisdiktioner for relaterede krav
- Se også A.2.5.8: Engagement af en underleverandør til behandling af personoplysninger for relaterede krav
Vejledningen gør det klart, at offentliggørelsesregistre skal dække både rutinemæssige og ikke-rutinemæssige oplysninger. Rutinemæssige oplysninger omfatter regelmæssige dataoverførsler til underleverandører som en del af normal behandling. Ikke-rutinemæssige oplysninger omfatter svar på anmodninger fra juridiske myndighedspersoner, adgang til ekstern revision og enhver anden ad hoc-deling af personoplysninger med tredjeparter.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.4 knyttes til følgende GDPR artikel:
- Artikel 30, stk. 1, litra d) — Fortegnelsen over behandlingsaktiviteter skal indeholde de kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer
Mens GDPR Artikel 30 kræver optegnelser over kategorier af modtagere, ISO 27701 A.2.5.4 går videre ved at kræve optegnelser over specifikke oplysninger, herunder præcis hvilke personoplysninger, der blev videregivet, til hvilken specifik modtager og på hvilken dato. Dette giver et mere detaljeret revisionsspor end minimumskravet i GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.4 som en selvstændig kontrol med implementeringsvejledning i B.2.5.4, der specifikt omhandler registrering af ikke-rutinemæssige oplysninger fra juridiske undersøgelser og eksterne revisioner, og kræver, at registreringer inkluderer kilden til oplysninger og myndighed. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.4 vil revisorer typisk se efter:
- Oplysningsregister — Et vedligeholdt register eller en log over alle videregivelser af personoplysninger til tredjeparter, med poster for hver videregivelseshændelse
- Optegnelsens fuldstændighed — Hver registrering skal indeholde: de kategorier eller specifikke elementer af personoplysninger, der er videregivet, modtagerens identitet, dato og tidspunkt for videregivelsen, kilden til videregivelsen (hvem der initierede den) og myndigheden for videregivelsen (retsgrundlag eller kontraktbestemmelse)
- Rutinemæssig og ikke-rutinemæssig dækning — Dokumentation for, at registeret dækker både rutinemæssige operationelle oplysninger (såsom overdragelser til underleverandører) og ikke-rutinemæssige oplysninger (såsom anmodninger om juridisk myndighed og adgang til revision)
- Opbevaring af optegnelser — Oplysningsregistreringer opbevares i den periode, der kræves i henhold til gældende lov og kundekontrakten
- Kunderapportering — Dokumentation for, at oplysningsdokumenter kan udleveres til kunderne efter anmodning, så de kan opfylde deres egne gennemsigtighedsforpligtelser
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.5 Meddelelse om anmodninger om offentliggørelse af personoplysninger | Kunder skal underrettes om juridisk bindende anmodninger om offentliggørelse, som også skal registreres |
| A.2.5.6 Juridisk bindende oplysninger om personoplysninger | Juridisk bindende oplysninger skal registreres hos den juridiske myndighed, der pålagde dem |
| A.2.5.7 Oplysninger om underleverandører | Oplysninger fra underleverandører er en kategori af tredjepartsoplysninger, der kræver optegnelser. |
| A.2.2.7 Forarbejdningsregistre | Oplysningsregistre er en del af de bredere behandlingsregistre |
| A.2.5.3 Lande til overførsel af personoplysninger | Oplysninger til modtagere i andre lande skal henvise til landeregistret |
Hvem gælder denne kontrol for?
A.2.5.4 gælder udelukkende for PII-processorerDatabehandlere videregiver regelmæssigt personoplysninger til tredjeparter som en del af deres aktiviteter, hvad enten det er gennem underleverandøraftaler, datareturneringer til kunder, svar til juridiske myndigheder eller adgang til ekstern revision. Uden en systematisk registrering af disse videregivelser kan hverken databehandleren eller den dataansvarlige påvise ansvarlighed for, hvordan personoplysninger er blevet delt.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til sporing af PII-offentliggørelse?
ISMS.online tilbyder praktiske værktøjer til registrering og håndtering af PII-oplysninger:
- Oplysningsregister — Vedligehold et centralt register over alle oplysninger om personoplysninger med strukturerede felter for kategorier af personoplysninger, modtageridentitet, dato, kilde og myndighed
- Automatiseret logføring — Opret offentliggørelsesposter fra workflow-udløsere, og sørg for at rutinemæssige offentliggørelser registreres systematisk uden manuel indgriben.
- Autoritetssporing — Forbind hver videregivelse med dens retsgrundlag eller kontraktbestemmelse, der viser, at hver videregivelse var godkendt
- Kunderapportering — Generer offentliggørelsesrapporter for individuelle kunder, der viser alle oplysninger om deres personoplysninger til tredjeparter
- Revisionsberedskab — Præsenterer oplysningsregistre i et struktureret format til interne og eksterne revisioner, med filtre efter dato, modtager, PII-kategori og myndighed
Ofte Stillede Spørgsmål
Hvad tæller som en videregivelse til en tredjepart?
En videregivelse sker, når PII stilles til rådighed for en enhed uden for organisationen. Dette omfatter: overførsler til underleverandører med henblik på behandling; datareturnering til kunden (den dataansvarlige); svar på anmodninger fra juridiske myndighedspersoner; adgang givet til eksterne revisorer; deling med andre databehandlere eller dataansvarlige; og enhver anden situation, hvor PII mister organisationens kontrol. Interne overførsler mellem afdelinger eller systemer i organisationen er ikke videregivelser til tredjepart, men overførsler til separate juridiske enheder inden for en gruppe kan være.
Hvor detaljerede skal offentliggørelsesregistre være?
Som minimum bør registreringerne omfatte: hvilke personoplysninger, der blev videregivet (kategorier eller specifikke dataelementer); til hvem (den specifikke modtagerorganisation); hvornår (dato og tidspunkt); hvem der initierede videregivelsen; og den myndighed, under hvilken den blev foretaget (kontraktklausul, lovkrav eller kundeinstruktion). For ikke-rutinemæssige videregivelser, såsom anmodninger om lovbestemt myndighed, bør yderligere oplysninger omfatte anmodningens referencenummer, den specifikke lovbestemmelse, der er citeret, og eventuelle begrænsninger i forhold til at underrette kunden.
Hvor længe skal oplysningsdokumenter opbevares?
Opbevaringsperioder for videregivelse af registre bør være i overensstemmelse med gældende databeskyttelseslovgivning (GDPR specificerer ikke en periode, men kræver, at registre skal være tilgængelige for tilsynsmyndigheden efter anmodning), kundekontrakten (som kan angive en opbevaringsperiode) og organisationens egen opbevaringspolitik. En almindelig tilgang er at opbevare videregivelsesregistre i hele behandlingsforholdet plus en periode, der er tilstrækkelig til at dække potentielle retskrav (typisk 6 år i Storbritannien). Registre bør ikke destrueres, mens en relateret undersøgelse eller tvist pågår.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer kræver.
Se vores vejledning til leverandørevaluering for hvordan kunder vurderer databehandleres videregivelsespraksis.
