Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.10: Håndtering af informationssikkerhed i leverandøraftaler

Kontrol A.3.10 kræver, at organisationer etablerer og aftaler relevante informationssikkerhedskrav med hver leverandør, der behandler personoplysninger. Dette er en kritisk forsyningskædekontrol i henhold til ISO 27701:2025.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.10?

Relevante informationssikkerhedskrav relateret til behandling af personoplysninger skal fastlægges og aftales med hver leverandør baseret på typen af ​​leverandørforhold.

Denne kontrol ligger inden for Delte sikkerhedskontroller Bilag (A.3), som indeholder forpligtelser for både PII-ansvarlige og PII-behandlere. Det anerkender, at PII sjældent forbliver inden for en enkelt organisation — leverandører, underdatabehandlere og partnere introducerer alle risici, der skal håndteres kontraktligt.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.10) indeholder følgende vejledning:

  • Angiv behandling af personoplysninger — Aftaler bør specificere, om personoplysninger skal behandles, og i så fald hvilke tekniske og organisatoriske minimumsforanstaltninger leverandøren skal implementere.
  • Fordel ansvaret tydeligt — Ansvarsfordelingen mellem organisationen, dens partnere og dens leverandører bør være eksplicit og utvetydig
  • Overholdelsesmekanismer — Sørg for en mekanisme til at sikre overholdelse af gældende lovkrav, såsom kontraktbestemmelser, der dækker databeskyttelsesforpligtelser
  • Uafhængig revisionsbevis — Overvej at kræve uafhængigt revideret overholdelse (f.eks. ISO 27001 certificering) som en måde at demonstrere, at leverandører opfylder kravene til informationssikkerhed
  • Processorspecifik vejledning — Hvor organisationen fungerer som databehandler, bør kontrakter med dens egne leverandører (underdatabehandlere) specificere, at personoplysninger kun behandles i henhold til den dataansvarliges instruktioner.

Vejledningen understreger, at leverandøraftaler ikke blot er en juridisk formalitet – de er den primære mekanisme, hvorigennem organisationer udvider deres privatlivskontrol til forsyningskæden.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.10 knytter sig til flere GDPR artikler:

  • Artikel 5, stk. 1, litra f) — Integritet og fortrolighed, herunder når PII håndteres af tredjeparter
  • Artikel 28 (1) — Dataansvarlige må kun bruge databehandlere, der giver tilstrækkelige garantier
  • Artikel 28(3)(ah) — Obligatoriske kontraktvilkår for databehandleraftaler, herunder genstand, varighed, behandlingens art og forpligtelser for begge parter
  • Artikel 30, stk. 2, litra d) — Databehandlere skal registrere kategorier af behandlinger, der udføres på vegne af hver dataansvarlig
  • Artikel 32 (1) (b) — Evne til at sikre løbende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af punkt 6.12.1.1 og 6.12.1.2, som omhandlede informationssikkerhedspolitik for leverandørrelationer og håndtering af sikkerhed i leverandøraftaler. 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.10) med et samlet implementeringsvejledningsafsnit i B.3.10. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.10 vil revisorer typisk se efter:

  • Leverandørregister — En liste over alle leverandører, der behandler personoplysninger, med detaljer om, hvilke data de har adgang til, og behandlingens art
  • Databehandleraftaler — Underskrevne kontrakter eller klausuler, der specificerer krav, ansvar og overholdelsesforpligtelser for informationssikkerhed
  • Due diligence-optegnelser — Dokumentation for, at leverandører blev vurderet før engagement, herunder sikkerhedsspørgeskemaer eller certificeringskontroller
  • Løbende overvågning — Optegnelser over periodiske leverandørgennemgange, revisioner eller recertificeringskontroller for at bekræfte fortsat overholdelse
  • Administration af underdatabehandlere — Hvis organisationen er databehandler, dokumentation for, at underdatabehandlere er kontraktligt bundet af den dataansvarliges instruktioner

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.9 Adgangsrettigheder Leverandørens adgang til personoplysninger skal være underlagt organisationens adgangskontrolpolitik.
A.3.13 Juridiske og kontraktlige krav Leverandøraftaler skal afspejle gældende juridiske og lovgivningsmæssige forpligtelser
A.3.18 Fortrolighedsaftaler Leverandørpersonale med PII-adgang skal underskrive fortrolighedsaftaler
A.3.15 Uafhængig gennemgang Uafhængige revisioner kan påvise leverandørers overholdelse af regler i stedet for individuelle kunderevisioner
A.3.12 Hændelsesrespons Leverandøraftaler bør indeholde forpligtelser til at underrette om brud og tidsfrister for svar

Hvem gælder denne kontrol for?

A.3.10 er en delt kontrol Det gælder både for PII-dataansvarlige og PII-behandlere. Dataansvarlige skal sikre, at deres databehandlere og leverandører har tilstrækkelige kontraktlige sikkerhedsforanstaltninger. Databehandlere skal stille tilsvarende krav til deres egne underdatabehandlere og sikre, at PII kun behandles i overensstemmelse med den dataansvarliges dokumenterede instruktioner.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvorfor vælge ISMS.online til administration af leverandørers privatlivsaftaler?

ISMS.online giver praktiske værktøjer til håndtering af leverandørrelationer og privatlivsforpligtelser:

  • Leverandørstyringsmodul — Vedligehold et centralt register over alle leverandører, der behandler personoplysninger, med risikovurderinger, kontraktdatoer og gennemgangsplaner
  • Kontraktsporing — Databehandlingsaftaler til lagring og versionskontrol med automatiske påmindelser om fornyelse
  • Due diligence-arbejdsgange — Vurder nye leverandører i forhold til jeres sikkerhedskrav inden onboarding med konfigurerbare spørgeskemaskabeloner
  • Løbende overvågning — Planlæg periodiske leverandørgennemgange med opgavetildelinger og indsamling af dokumentation
  • Revisionsklar rapportering — Generer leverandøroverholdelsesrapporter, der viser aftalestatus, gennemgangshistorik og udestående handlinger
  • Sporing af underdatabehandlere — Kortlæg hele proceskæden, så du ved præcis, hvor PII flyder gennem dit forsyningsnetværk

Ofte Stillede Spørgsmål

Hvad skal en leverandøraftale indeholde i forbindelse med behandling af personoplysninger?

Som minimum bør aftalen specificere, om personoplysninger behandles, de involverede kategorier og datamængder, de tekniske og organisatoriske minimumsforanstaltninger, som leverandøren skal implementere, ansvarsfordelingen mellem begge parter, krav om anmeldelse af brud og en mekanisme til verifikation af overholdelse. GDPRArtikel 28(3) opregner obligatoriske kontraktvilkår, der skal være opfyldt.

Kan ISO 27001-certificering erstatte en leverandøraudit?

Implementeringsvejledningen nævner specifikt uafhængigt revideret overholdelse af standarder, såsom ISO 27001, som en mekanisme til at demonstrere, at sikkerhedskrav er opfyldt. Selvom certificering er et stærkt bevis, bør organisationer stadig sikre, at omfanget af leverandørens certificering dækker de relevante behandlingsaktiviteter af personoplysninger. Certificering alene dækker muligvis ikke alle privatlivsspecifikke krav.

Hvordan adskiller dette sig for databehandlere, der administrerer underdatabehandlere?

Når din organisation fungerer som databehandler, skal dine kontrakter med underdatabehandlere indeholde en klausul, der sikrer, at personoplysninger kun behandles i henhold til den dataansvarliges instruktioner. Du forbliver ansvarlig over for den dataansvarlige for dine underdatabehandleres handlinger, så det samme niveau af kontraktlig stringens og due diligence bør gælde i hele kæden.

Se vores guider på ISO 27701 som et indkøbskrav og hvordan man evaluerer leverandører for køberens perspektiv.

Vores vejledning om krav til revisionsbeviser dækker den leverandørdokumentation, som revisorer forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.