Hvad kræver kontrol A.2.5.7?
Før brug skal organisationen oplyse kunden, om der anvendes underleverandører til at behandle personoplysninger.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler gennemsigtighed for underleverandører. Når en databehandler bruger underleverandører (underdatabehandlere) til at behandle personoplysninger på vegne af den dataansvarlige, skal den dataansvarlige informeres, før underleverandøren begynder behandlingen. Dette er en proaktiv forpligtelse: videregivelse skal ske før brug, ikke efter.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.7) indeholder følgende vejledning:
- Kontraktbestemmelser — Bestemmelser om underleverandørers oplysninger bør inkluderes i kundekontrakten
- Omfang af offentliggørelse — Oplys om underentreprisen og navnene på underleverandørerne
- Land og overførselsoplysninger — Oplys også, i hvilke lande og organisationer underleverandører kan overføre data, og hvordan underleverandører opfylder eller overgår databehandlerens egne forpligtelser.
- Overvejelser om sikkerhedsrisiko — Hvis offentliggørelse af underleverandøroplysninger øger sikkerhedsrisikoen, kan videregivelse ske i henhold til en fortrolighedsaftale (NDA) eller efter anmodning. Landelisten skal dog altid offentliggøres uanset
- Se også A.2.5.4: Registrering af videregivelse af personoplysninger til tredjeparter for relaterede krav
- Se også A.2.5.5: Meddelelse om anmodninger om videregivelse af personoplysninger for relaterede krav
Vejledningen balancerer gennemsigtighed med sikkerhed. Selvom det nogle gange kan være nødvendigt at oplyse alle underleverandøroplysninger (herunder navne og compliance-status) i henhold til fortrolighedsaftalen for at forhindre sikkerhedsrisici, skal de lande, hvortil PII kan overføres, altid oplyses uden begrænsninger. Dette sikrer, at dataansvarlige altid kan vurdere overholdelse af grænseoverskridende overførsler.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.7 knyttes til følgende GDPR artikler:
- Artikel 28 (2) — Databehandleren må ikke engagere en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige. I tilfælde af generel skriftlig tilladelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere og dermed give den dataansvarlige mulighed for at gøre indsigelse.
- Artikel 28 (4) — Hvis en databehandler engagerer en anden databehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, gælder de samme databeskyttelsesforpligtelser som fastsat i kontrakten mellem den dataansvarlige og databehandleren for den anden databehandler.
GDPR Artikel 28(2) kræver enten specifik godkendelse (med navngivning af hver underdatabehandler) eller generel godkendelse med en anmeldelses- og indsigelsesmekanisme. Uanset hvad skal den dataansvarlige kende til underdatabehandlere, før de påbegynder behandlingen.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.7 som en selvstændig kontrol med implementeringsvejledning i B.2.5.7, der tilføjer eksplicit dækning af landenes oplysningskrav, NDA-bestemmelser for sikkerhedsfølsomme oplysninger og kravet om at oplyse, hvordan underleverandører opfylder eller overgår databehandlerens forpligtelser. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.7 vil revisorer typisk se efter:
- Underleverandørregister — Et vedligeholdt register over alle underleverandører, der anvendes til at behandle personoplysninger, herunder deres navne, behandlingsaktiviteter, placeringer og datoen, hvor de blev videregivet til hver kunde
- Optegnelser over oplysninger før engagement — Bevis for, at underleverandører blev oplyst til kunderne, før de begyndte at behandle personoplysninger, ikke efter
- Landeoplysninger — Dokumentation af de lande og organisationer, hvor hver underleverandør behandler eller overfører personoplysninger
- Bevis for overholdelse — Optegnelser, der viser, hvordan underleverandører opfylder eller overgår databehandlerens egne forpligtelser, såsom certificeringer, revisionsrapporter eller kontraktlige forpligtelser
- Kontraktbestemmelser — Kontraktbestemmelser, der definerer proceduren for underleverandørers oplysningspligt, herunder om der gælder en specifik eller generel bemyndigelse, og kundens ret til at gøre indsigelse
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.8 Inddragelse af underleverandører | Regulerer de kontraktlige og autorisationskrav for den faktiske brug af underleverandøren |
| A.2.5.3 Lande til overførsel af personoplysninger | Underleverandørlande skal være inkluderet på listen over overførselsdestinationer |
| A.2.5.2 Grundlag for overførsel af personoplysninger | Overførsler til underleverandører i andre jurisdiktioner kræver et dokumenteret juridisk grundlag |
| A.2.2.2 Kundeaftale | Kontrakten definerer modellen for underleverandørautorisation (specifik eller generel) |
| A.2.2.6 Kundens forpligtelser | Gennemsigtighed hos underleverandører hjælper kunder med at demonstrere deres egen overholdelse af regler |
Hvem gælder denne kontrol for?
A.2.5.7 gælder udelukkende for PII-processorerDataansvarlige er i sidste ende ansvarlige for behandlingen af personoplysninger, herunder behandling udført af underdatabehandlere på deres vegne. Uden gennemsigtighed om, hvem der behandler deres data, og hvor, kan dataansvarlige ikke opfylde deres ansvarlighedsforpligtelser. Denne kontrol sikrer, at databehandlere ikke introducerer underleverandører i behandlingskæden uden den dataansvarliges viden.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til håndtering af oplysningspligt vedrørende underleverandører?
ISMS.online giver praktiske værktøjer til styring af gennemsigtighed hos underleverandører:
- Underleverandørregister — Vedligehold et centralt register over alle underdatabehandlere, herunder deres navne, behandlingsaktiviteter, placeringer, certificeringer og compliance-status
- Arbejdsgange for offentliggørelse — Administrer arbejdsgange for offentliggørelse før aftale med sporede kundemeddelelser, godkendelsesanmodninger og håndtering af indsigelser
- Landekortlægning — Forbind underleverandører med deres forarbejdningslande, og opdatering af overførselsdestinationsregisteret automatisk, når underleverandører skifter
- Overvågning af overholdelse — Spor dokumentation for overholdelse af underleverandørers regler (certificeringer, revisionsrapporter, kontraktvilkår) og marker, når dokumentationen udløber eller skal fornyes
- Kundeportal — Giv kunderne indsigt i dit underleverandørregister, reducer ad hoc-informationsanmodninger og demonstrer løbende gennemsigtighed
Ofte Stillede Spørgsmål
Hvilke oplysninger skal oplyses om underleverandører?
Databehandleren skal som minimum oplyse: om, at der anvendes underleverandører; navnene på underleverandørerne; de lande og organisationer, hvortil underleverandører kan overføre personoplysninger; og de midler, hvormed underleverandører opfylder eller overgår databehandlerens egne forpligtelser (såsom certificeringer, kontraktvilkår eller revisionsresultater). Hvis videregivelse af underleverandørers navne skaber en sikkerhedsrisiko, kan navnene videregives i henhold til en fortrolighedsaftale eller på anmodning, men landelisten skal altid offentliggøres offentligt.
Hvad er forskellen på en specifik og en generel autorisation?
I henhold til GDPR artikel 28(2) kan den dataansvarlige give specifik tilladelse (godkendelse af hver underdatabehandler individuelt inden engagement) eller generel tilladelse (giver generel tilladelse til, at databehandleren bruger underdatabehandlere, underlagt en underretnings- og indsigelsesmekanisme). Med en generel tilladelse skal databehandleren informere den dataansvarlige om eventuelle planlagte ændringer af underdatabehandlere og give den dataansvarlige mulighed for at gøre indsigelse, før ændringen træder i kraft. Kontrakten bør tydeligt angive, hvilken model der gælder.
Kan en databehandler nægte at oplyse navnene på underleverandører?
Vejledningen i bilag B tillader, at navne ikke offentliggøres, hvis dette øger sikkerhedsrisikoen, forudsat at de videregives i henhold til en fortrolighedsaftale eller på anmodning. Databehandleren kan dog ikke nægte at videregive navne til kunden fuldstændigt, da den dataansvarlige har brug for disse oplysninger for at opfylde sine egne forpligtelser. Landelisten skal altid videregives uden begrænsninger. I praksis forventer de fleste kunder fulde navne på underleverandører som en del af databehandleraftalen eller en offentligt tilgængelig liste over underdatabehandlere.
Indkøbsteams bruger disse kontroller til at evaluere databehandlere – se vores vejledning om indkøbskrav og vejledning til leverandørevaluering.
Vores vejledning om krav til revisionsbeviser specificerer, hvad revisorer af underleverandørdokumentation forventer.
