Hvad kræver kontrol A.2.5.9?
Organisationen skal, i tilfælde af generel skriftlig tilladelse, informere kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underleverandører til behandling af personoplysninger og derved give kunden mulighed for at gøre indsigelse mod sådanne ændringer.
Denne kontrol ligger inden for Overførsel og videregivelse af personoplysninger mål (A.2.5), som regulerer, hvordan PII-behandlere administrerer deling og videreoverførsel af personoplysninger, der er betroet dem af deres kunder.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.2.5.9) indeholder følgende vejledning:
- Hvis organisationen skifter underleverandør, kræves der skriftlig tilladelse fra kunden, før den nye underleverandør behandler personoplysninger.
- Denne bemyndigelse kan have form af specifikke kontraktbestemmelser, der fastsætter anmeldelses- og indsigelsesprocessen.
- Alternativt kan det være en specifik engangsaftale, der indhentes, før den nye underleverandør begynder at bearbejde
- Hovedprincippet er, at kunden bevarer kontrollen over, hvilke enheder der behandler deres personoplysninger, selv når der er givet en generel tilladelse.
- Se også A.2.5.2: Grundlag for overførsel af personoplysninger mellem jurisdiktioner for relaterede krav
- Se også A.2.5.3: Lande og internationale organisationer til overførsel af personoplysninger for relaterede krav
Denne vejledning forstærker ideen om, at generel autorisation ikke betyder generel tilladelse. Kunden skal altid have ret til at gennemgå og potentielt afvise ændringer i underleverandørkæden.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.9 knytter sig direkte til GDPR artikel 28(2), som fastslår, at en databehandler ikke må engagere en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige. Hvor der er givet en generel skriftlig tilladelse, skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere og dermed give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
Dette er en af de mest direkte afstemte kontroller mellem ISO 27701:2025 og GDPR, hvor kontrolsproget nøje afspejler forordningen.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter følgende ISO 29100-privatlivsprincip:
- Ansvarlighed — Opretholdelse af klar ansvarlighed for behandling af personoplysninger i hele underleverandørkæden
- Åbenhed, gennemsigtighed og varsel — Sikring af at kunden er informeret om ændringer, der påvirker, hvordan deres personoplysninger behandles
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.9 vil revisorer typisk se efter:
- Underleverandørregister — En dokumenteret liste over alle nuværende underleverandører, der er engageret til at behandle personoplysninger, med datoer for engagement og omfang af behandlingen.
- Meddelelsesoptegnelser — Dokumentation for, at kunden blev informeret om planlagte ændringer hos underleverandører, før de trådte i kraft
- Indsigelsesproces — En defineret procedure for, hvordan kunder kan gøre indsigelser mod foreslåede ændringer, herunder tidsfrister
- Kontraktklausuler — Skriftlige aftaler, der fastsætter meddelelses- og indsigelsesmekanismen for ændringer af underleverandører
- Autorisationsregistre — Dokumentation for skriftlig autorisation (generel eller specifik) indhentet fra hver kunde
- Ændringshistorik — Et revisionsspor, der viser alle tilføjelser, udskiftninger og fjernelser af underleverandører over tid
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.7 Oplysninger om underleverandører | Kræver oplysning om brugen af underleverandører, før behandlingen påbegyndes |
| A.2.5.8 Ansættelse af en underleverandør | Styrer de kontraktlige krav ved brug af underleverandører |
| A.2.2.2 Kundeaftale | Den overordnede aftale, der definerer vilkårene for behandling, herunder bestemmelser om underleverandører |
| A.2.2.3 Organisationsformål | Behandling skal forblive inden for de formål, der er aftalt med kunden, herunder når underleverandører skifter |
| A.3.10 Leverandøraftaler | Bredere krav til leverandørstyring, der gælder for underleverandørforhold |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af klausul 8.5.8 (ændringer i underleverandør til behandling af personoplysninger). Kontrolindholdet er stort set det samme i 2025, men det er nu en del af Tabel A.2 med en klarere adskillelse mellem kontrolerklæringen (A.2.5.9) og implementeringsvejledningen (B.2.5.9). Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af ændringer i underleverandører?
ISMS.online giver praktiske værktøjer til håndtering af underleverandørrelationer og ændringer:
- Underleverandørregister — Vedligehold et centralt register over alle underleverandører, der behandler personoplysninger, med omfang, placering og kontraktoplysninger
- Ændre arbejdsgang — Udløs notifikationsworkflows, når underleverandører tilføjes eller erstattes, med indbyggede godkendelsestrin
- Kundekommunikation — Registrer meddelelser sendt til kunder og spor deres svar, herunder eventuelle indsigelser
- Kontraktstyring — Aftaler om underleverandører til lagring og versionskontrol sammen med autorisationsregistre
- Revisionsspor — Generer en komplet historik over ændringer i underleverandører til brug for revisionsbeviser og compliance-rapportering
Ofte Stillede Spørgsmål
Hvad er forskellen på en generel og en specifik skriftlig fuldmagt?
En generel skriftlig bemyndigelse giver databehandleren mulighed for at engagere underleverandører, forudsat at kunden underrettes og gives mulighed for at gøre indsigelse. En specifik skriftlig bemyndigelse kræver, at kunden godkender hver enkelt underleverandør, før de kan påbegynde behandlingen. A.2.5.9 omhandler specifikt de forpligtelser, der opstår, når der er en generel bemyndigelse på plads.
Hvor meget varsel skal der gives, før et underleverandørskifte?
ISO 27701:2025 specificerer ikke en minimumsvarslingsperiode, men kunden skal have en rimelig mulighed for at gøre indsigelse. Bedste praksis er at definere varslingsperioden i din databehandleraftale. Mange organisationer bruger 30 dage som standardperiode, men dette bør aftales med hver kunde baseret på følsomheden og omfanget af de involverede personoplysninger.
Hvad sker der, hvis en kunde gør indsigelse mod et skift af underleverandør?
Hvis en kunde gør indsigelse, må den nye underleverandør ikke behandle den pågældende kundes personoplysninger. Organisationen bør have en dokumenteret proces til håndtering af indsigelser, hvilket kan omfatte at beholde den eksisterende underleverandør for den pågældende kunde, tilbyde et alternativ eller i nogle tilfælde tillade kontraktopsigelse. Det specifikke resultat bør være underlagt vilkårene i databehandleraftalen.
Indkøbsteams bruger disse kontroller til at evaluere databehandlere – se vores vejledning om indkøbskrav og vejledning til leverandørevaluering.
Vores vejledning om krav til revisionsbeviser specificerer, hvad revisorer af underleverandørdokumentation forventer.
