Wat vereis beheer A.1.2.7?
Die organisasie moet 'n skriftelike kontrak hê met enige PII-verwerker wat dit gebruik, en moet verseker dat hul kontrakte met PII-verwerkers die implementering van die toepaslike beheermaatreëls aanspreek in Aanhangsel A (Sien Tabel A.2).
Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2). Dit erken dat baie organisasies nie PII volledig intern verwerk nie — hulle betrek wolkverskaffers, betaalstaatburo's, bemarkingsplatforms en ander derde partye om PII namens hulle te verwerk. A.1.2.7 verseker dat hierdie reëlings deur formele kontrakte beheer word wat privaatheids- en sekuriteitsverpligtinge aan die verwerker uitbrei.
Die verwysing na Tabel A.2 is betekenisvol: dit beteken die kontrak moet die PII aanspreek verwerker beheermaatreëls wat in die standaard gedefinieer word, nie net algemene databeskermingsklousules nie.
Aankopespanne vereis toenemend ISO 27701-sertifisering van verwerkers — sien ons verkrygingsvereistegids en verskaffer evalueringsgids.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.2.7) verskaf die volgende riglyne oor wat verwerkingskontrakte moet spesifiseer:
- Aard en doel van verwerking — Wat die verwerker met die PII sal doen en hoekom
- Tipes PII verwerk — Die kategorieë van persoonlike data wat die verwerker sal hanteer (bv. kontakbesonderhede, finansiële data, gesondheidsrekords)
- Duur van verwerking — Hoe lank die verwerker persoonlike inligting sal verwerk en wat met die data aan die einde van die kontrak gebeur
- Verpligtinge van die verwerker — Spesifieke pligte wat die verwerker moet nakom, insluitend die implementering van die Tabel A.2 beheermaatreëls wat toepaslik is vir die verwerking
- Regte en verpligtinge van die beheerder — Die organisasie se reg om te oudit, instruksies te gee en subverwerkers goed te keur of te verwerp
- Vereistes om te implementeer Tabel A.2 beheer — Die kontrak moet verwys na of die spesifieke verwerkingskontroles uit Aanhangsel A insluit wat relevant is vir die verwerkingsaktiwiteite.
Die riglyne wys ook daarop dat organisasies moet oorweeg subverwerkingsbepalings — of die verwerker toegelaat word om verdere verwerkers te betrek, en indien wel, onder watter voorwaardes en met watter kennisgewingsvereistes.
Hoe pas dit by die GDPR?
Beheer A.1.2.7 karteer na die volgende BBP bepalings:
- Artikel 5 (2) — Die aanspreeklikheidsbeginsel, wat vereis dat beheerders voldoening moet kan demonstreer. Skriftelike verwerkingskontrakte is 'n belangrike aanspreeklikheidsmeganisme.
- Artikel 28(3)(e) — Verwerkerkontrakte moet vereis dat die verwerker die beheerder bystaan om te verseker dat hy voldoen aan verpligtinge kragtens Artikels 32–36 (sekuriteit, kennisgewing van oortredings, DPIA's en voorafgaande konsultasie)
- Artikel 28 (9) — Die kontrak moet skriftelik wees, insluitend in elektroniese vorm
BBP Artikel 28 bevat bykomende verpligte kontrakklousules bo en behalwe wat ISO 27701 eksplisiet vereis – insluitend vereistes vir die verwerker om slegs op gedokumenteerde instruksies op te tree, die vertroulikheid van verwerkingspersoneel te verseker, data te verwyder of terug te besorg nadat die kontrak verstryk het, en alle inligting beskikbaar te stel wat nodig is om voldoening aan te toon. Organisasies wat na volledige GDPR-belyning streef, moet verseker dat hul kontrakte alle vereistes van Artikel 28(3) dek.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun twee ISO 29100-privaatheidsbeginsels:
- Aanspreeklikheid — Kontrakte brei aanspreeklikheid vir PII-beskerming uit verder as die beheerder se eie bedrywighede na sy verwerkers, wat verseker dat die hele verwerkingsketting beheer word.
- Inligtings sekuriteit — Kontrakte wat die implementering van vereis Tabel A.2 beheermaatreëls verseker dat verwerkers toepaslike sekuriteitsmaatreëls toepas op die persoonlike inligting wat hulle hanteer
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.2.7 beoordeel word, sal ouditeure tipies kyk na:
- Verwerkerregister — 'n Volledige lys van alle PII-verwerkers wat deur die organisasie aangestel is, met die verwerkingsaktiwiteite wat hulle uitvoer
- Getekende kontrakte of DPA's — Skriftelike ooreenkomste met elke verwerker, óf as losstaande dataverwerkingsooreenkomste (DPA's) óf as klousules binne breër diensooreenkomste
- Tabel A.2 dekkingsanalise — Bewyse dat die kontrak die relevante verwerkerbeheermaatreëls van Tabel A.2, óf deur eksplisiete verwysing óf deur ekwivalente vereistes in te sluit
- Subverwerkerbepalings — Klousules wat bepaal of en hoe die verwerker verdere verwerkers mag betrek, insluitend kennisgewing- en goedkeuringsmeganismes
- Kontrakhersieningsrekords — Bewyse dat verwerkingskontrakte periodiek hersien en opgedateer word, veral wanneer verwerkingsaktiwiteite verander of die standaard opgedateer word
- Rekords van behoorlike sorgvuldigheid — Bewyse dat die organisasie die verwerker se vermoë om die vereiste beheermaatreëls te implementeer, beoordeel het voor die kontrak aangegaan is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| Tabel A.2 (PII-verwerkerkontroles) | Die beheermaatreëls wat in verwerkingskontrakte aangespreek moet word |
| A.1.2.6 Impakbepaling vir privaatheid | PIA's moet risiko's wat voortspruit uit verwerkingsreëlings oorweeg |
| A.1.5.2 Basis vir PII-oordrag tussen jurisdiksies | Die deel van persoonlike inligting (PII) met verwerkers is 'n vorm van openbaarmaking wat gereguleer moet word. |
| A.1.2.8 Gesamentlike PII-beheerder | Waar 'n verhouding gesamentlike beheerderskap eerder as beheerder-verwerker is, geld verskillende kontraktuele vereistes. |
| A.1.2.9 Rekords van Verwerking van PII | Verwerkingsrekords moet identifiseer watter aktiwiteite verwerkers betrek |
| ISO 27001 A.5.19–A.5.22 | Verskafferverhoudingssekuriteitskontroles in die onderliggende ISMS |
Wat het verander van ISO 27701:2019?
In die 2019-uitgawe het hierdie vereiste verskyn as Klousule 7.2.6 (kontrakte met PII-verwerkers). Die kernvereiste — skriftelike kontrakte wat toepaslike beheermaatreëls aanspreek — is onveranderd. Die 2025-uitgawe versterk die vereiste deur eksplisiet te verwys na Tabel A.2, wat 'n duideliker en meer gestruktureerde stel verwerkerkontroles bied as die 2019-uitgawe se Aanhangsel A. Dit maak dit makliker vir organisasies om presies te identifiseer watter kontroles hul kontrakte moet aanspreek. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir die bestuur van PII-verwerkerkontrakte?
ISMS.aanlyn vereenvoudig die hele verwerkerkontraklewensiklus van behoorlike sorgvuldigheid tot deurlopende nakomingsmonitering:
- Verwerkerregister — Handhaaf 'n gesentraliseerde register van alle PII-verwerkers met hul verwerkingsaktiwiteite, kontrakstatus en hersieningsdatums op een plek
- DPA-klousulebiblioteek — Voorafgeboude kontrakklousule-sjablone in lyn met ISO 27701 Tabel A.2 vereistes en GDPR Artikel 28, gereed om in u ooreenkomste in te sluit
- Tabel A.2 karteer — Identifiseer outomaties watter verwerkerkontroles op elke verwerkingsreëling van toepassing is, en verseker dat geen vereiste klousules gemis word nie
- Subverwerker-opsporing — Teken goedgekeurde subverwerkers vir elke verwerker aan, met waarskuwings wanneer nuwe subverwerkers in kennis gestel word
- Herinneringe vir kontrakhersiening — Outomatiese kennisgewings wanneer kontrakte hersien moet word, wanneer verwerkingsaktiwiteite verander, of wanneer die standaard opgedateer word
- Verskaffer omsigtigheidsondersoek — Geïntegreerde vraelyste om verwerkervermoëns te assesseer voor kontrakondertekening, met puntetoekennings en gedokumenteerde uitkomste
Vrae & Antwoorde
Het elke verskaffer 'n dataverwerkingsooreenkoms nodig?
Slegs verskaffers wat PII namens u verwerk (d.w.s. as PII-verwerkers optree) benodig 'n kontrak onder A.1.2.7. Verskaffers wat dienste lewer wat nie toegang tot PII behels nie – soos kantoorvoorraadverskaffers – benodig nie 'n DPA nie. Die sleutelvraag is of die verskaffer PII as deel van die diens sal verwerk, toegang daartoe verkry of stoor. Indien u twyfel, klassifiseer die verskaffer as 'n verwerker en stel 'n kontrak in plek – dit is beter om 'n onnodige DPA te hê as om 'n vereiste een mis te loop.
Wat moet ons doen omtrent subverwerkers?
Jou kontrak met elke verwerker moet subverwerking aanspreek. Algemene benaderings sluit in: die vereiste van vooraf skriftelike goedkeuring vir alle subverwerkers, die vereiste van kennisgewing met die reg om beswaar te maak, of die voorafgoedkeuring van 'n benoemde lys van subverwerkers. Ingevolge AVG Artikel 28 mag die verwerker nie 'n ander verwerker aanstel sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. Watter benadering jy ook al kies, maak seker dat die kontrak vereis dat die verwerker ekwivalente kontraktuele verpligtinge aan sy subverwerkers oplê.
Hoe hanteer ons verwerkers wat weier om ons DPA te onderteken?
Groot verwerkers (veral SaaS-verskaffers) bied dikwels hul eie standaard DPA aan eerder as om joune te onderteken. Dit is oor die algemeen aanvaarbaar mits hul DPA die vereiste elemente dek - aard en doel van verwerking, tipes PII, duur, verpligtinge en die relevante Tabel A.2 beheermaatreëls. Hersien hul DPA teen 'n kontrolelys van vereiste klousules. Indien gapings bestaan, onderhandel addenda of aanvullende terme. Indien 'n verwerker enige skriftelike ooreenkoms oor PII-verwerking weier, moet u nie daardie verwerker gebruik nie – die beheermaatreël vereis uitdruklik 'n skriftelike kontrak.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.
