Hvad kræver kontrol A.2.5.8?
Organisationen må kun engagere en underleverandør til at behandle personoplysninger i henhold til kundekontrakten.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og fastlægger det kontraktlige grundlag for underbehandling. Databehandlere kan ikke frit delegere behandling af personoplysninger til underleverandører. Enhver underbehandlingsaftale skal være godkendt af kundekontrakten, og underleverandøren skal være bundet af tilsvarende privatlivsforpligtelser. Dette beskytter den dataansvarliges interesser i hele behandlingskæden.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.8) indeholder følgende vejledning:
- Skriftlig kundeautorisation — Skriftlig tilladelse fra kunden er påkrævet før enhver form for underleverandørbehandling. Dette kan ske i form af kontraktklausuler eller en specifik engangsaftale.
- Skriftlig underleverandørkontrakt — Organisationen skal have en skriftlig kontrakt med hver underleverandør
- Tabel A.2 kontrol — Underleverandørkontrakten skal omfatte alle gældende kontroller fra Tabel A.2 (PII-processorens kontroller)
- Standardimplementering — Underleverandører bør implementere alle A.2-kontroller som standard; eventuelle undtagelser skal begrundes
- Se også A.2.5.2: Grundlag for overførsel af personoplysninger mellem jurisdiktioner for relaterede krav
- Se også A.2.5.4: Registrering af videregivelse af personoplysninger til tredjeparter for relaterede krav
Vejledningen fastlægger en klar kæde af kontraktlige forpligtelser. Kunden godkender underdatabehandlingen, databehandleren indgår kontrakt med underleverandøren, og underleverandørkontrakten afspejler forpligtelserne i databehandlerens egen kontrakt med kunden. Undtagelser fra A.2-kontrollerne er kun tilladt, hvor det er berettiget, hvilket sikrer, at beskyttelsen af privatlivets fred ikke forringes, efterhånden som databehandlingen bevæger sig nedad i kæden.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.8 knyttes til følgende GDPR artikler:
- Artikel 28 (2) — Databehandleren må ikke engagere en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige
- Artikel 28 (4) — Hvis en databehandler engagerer en anden databehandler, pålægges den anden databehandler gennem en kontrakt de samme databeskyttelsesforpligtelser som fastsat i kontrakten mellem den dataansvarlige og den første databehandler, navnlig ved at der gives tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger.
GDPR Artikel 28(4) kræver en nedbrydning af forpligtelser: Underdatabehandlerkontrakten skal pålægge underdatabehandleren de samme forpligtelser, som den dataansvarlige har pålagt databehandleren. Hvis underdatabehandleren ikke opfylder sine forpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.8 som en selvstændig kontrol med implementeringsvejledning i B.2.5.8, der eksplicit kræver, at underleverandørkontrakter skal håndtere alle Tabel A.2 kontroller og kræver, at underleverandører implementerer alle A.2-kontroller som standard med begrundede undtagelser. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.8 vil revisorer typisk se efter:
- Kundeautorisation — Skriftlig tilladelse fra hver kunde til brug af underleverandører, enten gennem kontraktklausuler (generel tilladelse) eller specifikke godkendelser (specifik tilladelse)
- Underleverandørkontrakter — Skriftlige kontrakter med hver underleverandør, der omhandler alle gældende A.2-kontroller, med dokumenteret begrundelse for eventuelle undtagelser
- Forpligtelsesflow-down — Dokumentation for, at de forpligtelser, der pålægges databehandleren i henhold til kundekontrakten, er overført til underleverandørkontrakter
- A.2 kontroldækning — En kortlægning, der viser, hvilke A.2-kontroller der er adresseret i hver underleverandørkontrakt, og begrundelsen for eventuelle undtagelser.
- Overvågning af underleverandørers overholdelse — Dokumentation for, at organisationen overvåger underleverandørernes overholdelse af deres kontraktlige forpligtelser, såsom revisionsresultater, certificeringsstatus og præstationsevalueringer
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.7 Oplysninger om underleverandører | Underleverandører skal oplyses til kunden inden engagement |
| A.2.2.2 Kundeaftale | Kundekontrakten bemyndiger underdatabehandling og definerer betingelserne |
| A.2.5.3 Lande til overførsel af personoplysninger | Underleverandørers forarbejdningssteder skal dokumenteres og oplyses |
| A.2.4.3 Returnering, overførsel eller bortskaffelse | Underleverandører skal overholde kravene til bortskaffelse af personoplysninger ved kontraktens afslutning |
| A.2.2.6 Kundens forpligtelser | Dokumentation for overholdelse af regler for underleverandører understøtter kundens ansvarlighed |
Hvem gælder denne kontrol for?
A.2.5.8 gælder udelukkende for PII-processorerNår en databehandler engagerer en underleverandør, gennemgår den dataansvarliges personoplysninger et yderligere behandlingslag. Den dataansvarlige skal have sikkerhed for, at dette yderligere lag yder samme beskyttelsesniveau som den primære behandlingsrelation. Denne kontrol sikrer, at underbehandling er godkendt, kontraktligt reguleret og underlagt det fulde sæt af A.2-kontroller.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til styring af underleverandørengagement?
ISMS.online giver praktiske værktøjer til håndtering af underleverandørengagement:
- Kontraktstyring — Opbevar og administrer underleverandørkontrakter med versionskontrol, hvor hver kontrakt knyttes til de relevante A.2-kontroller og kundeautorisationer
- Kontrol kortlægning — Kortlæg hver underleverandørkontrakt i forhold til alle A.2-kontroller med strukturerede felter til dokumentation af kontroldækning og begrundede udelukkelser
- Autorisationssporing — Spor kundeautorisationer for hver underleverandør, herunder autorisationstype (specifik eller generel), udstedt dato og eventuelle betingelser
- Overvågning af overholdelse — Overvåg underleverandørers overholdelse af regler gennem planlagte vurderinger, certificeringssporing og styring af revisionsresultater
- Forpligtelsesflow-down — Sammenlign kundens kontraktforpligtelser med underleverandørernes kontraktforpligtelser for at kontrollere, at alle krav er korrekt overholdt
Ofte Stillede Spørgsmål
Hvad skal underleverandørkontrakten indeholde?
Underleverandørkontrakten skal omfatte alle gældende kontroller fra Tabel A.2 (kontrollerne for databehandleren). Dette omfatter behandlingsinstruktioner, fortrolighedsforpligtelser, sikkerhedsforanstaltninger, support af registreredes rettigheder, underretning om brud, databortskaffelse, bestemmelser om grænseoverskridende overførsel og revisionsrettigheder. Underleverandøren skal implementere alle A.2-kontroller som standard. Eventuelle undtagelser skal dokumenteres og begrundes ud fra omfanget af underbehandlingen. Kontrakten skal også indeholde de samme forpligtelser, som kundekontrakten pålægger databehandleren.
Hvem er ansvarlig, hvis underleverandøren misligholder sine forpligtelser?
I henhold til GDPR forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underleverandørens forpligtelser. Hvis underleverandøren ikke opfylder sine databeskyttelsesforpligtelser, er databehandleren ansvarlig. Derfor er robuste underleverandørkontrakter, compliance-overvågning og revisionsrettigheder afgørende. Databehandleren bør også sikre, at den har passende bestemmelser om skadesløsholdelse i sin underleverandørkontrakt for at styre den kommercielle risiko for underleverandørers manglende overholdelse.
Kan udelukkelser fra A.2-kontroller begrundes?
Ja, men udelukkelser skal begrundes ud fra omfanget og arten af underbehandlingen. For eksempel kan en underleverandør, der kun leverer infrastrukturhosting (uden adgang til PII-indhold), med rette udelukke kontroller relateret til registreredes rettigheder eller videregivelse af PII. Kontroller relateret til sikkerhed, fortrolighed og anmeldelse af brud på sikkerheden vil dog stadig gælde. Begrundelsen skal dokumenteres, risikovurderes og godkendes. Revisorer vil granske udelukkelser for at sikre, at de ikke skaber huller i privatlivsbeskyttelsen.
Indkøbsteams bruger disse kontroller til at evaluere databehandlere – se vores vejledning om indkøbskrav og vejledning til leverandørevaluering.
Vores vejledning om krav til revisionsbeviser specificerer, hvad revisorer af underleverandørdokumentation forventer.
