Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.2.2: Kliëntooreenkoms

Beheer A.2.2.2 vereis dat PII-verwerkers verseker dat kontrakte die verwerker se rol in die bystand met die kliënt se PII-verpligtinge aanspreek. Hierdie beheer vestig die kontraktuele grondslag vir alle verwerkeraktiwiteite onder ISO 27701:2025.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.2.2?

Die organisasie moet, waar relevant, verseker dat die kontrak om persoonlike inligting te verwerk, die organisasie se rol in die verskaffing van bystand met die kliënt se verpligtinge aanspreek (met inagneming van die aard van verwerking en die inligting wat tot die organisasie se beskikking is).

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en vestig die kontraktuele grondslag vir die verwerker-beheerder-verhouding. Dit vereis dat verwerkers verder gaan as om bloot data te verwerking om beheerders aktief by te staan ​​met hul verpligtinge – soos kennisgewing van oortredings, regte van data-onderwerpe, DPIA's en sekuriteitsmaatreëls. Die kontrak moet hierdie bystandsverpligtinge duidelik definieer.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.2.2) verskaf die volgende riglyne oor wat die kontrak moet insluit:

  • Privaatheid deur ontwerp en privaatheid by verstek — Die kontrak moet die verwerker se rol in die ondersteuning van privaatheid deur ontwerp en privaatheid deur verstek-beginsels aanspreek.
  • Sekuriteit van verwerking — Die kontrak moet dek hoe die verwerker sal help om toepaslike sekuriteitsmaatreëls te bereik
  • Kennisgewing van oortreding aan toesighoudende owerhede — Die kontrak moet die verwerker se verpligtinge definieer om die beheerder in kennis te stel van oortredings wat PII behels, wat die beheerder in staat stel om sy kennisgewingsverpligtinge na te kom.
  • Kennisgewing van oortreding aan kliënte en PII-prinsipale — Die kontrak moet aanspreek hoe die verwerker die beheerder sal help om betrokke individue in kennis te stel
  • Privaatheid impakbeoordelings — Die kontrak moet die verwerker se rol in die uitvoering van of bydrae tot DPIA's insluit.
  • Vooraf konsultasie — Die kontrak moet bystand dek indien die beheerder met PII-beskermingsowerhede moet konsulteer
  • Sien ook A.2.2.4: Bemarkings- en advertensiegebruik vir verwante vereistes
  • Sien ook A.2.2.5: Oortredende Instruksie vir verwante vereistes

Sommige jurisdiksies vereis dat die kontrak ook die onderwerp en duur van die verwerking, die aard en doel van die verwerking, die tipe PII en kategorieë van PII-hoofde insluit.

Hoe pas dit by die GDPR?

Beheer A.2.2.2 karteer na die volgende BBP artikels:

  • Artikel 28(3)(e) — Die verwerker moet die beheerder bystaan ​​om te verseker dat hy voldoen aan verpligtinge met betrekking tot sekuriteit, kennisgewing van oortredings, DPIA's en voorafgaande konsultasie.
  • Artikel 28(3)(f) — Die verwerker moet die beheerder bystaan ​​om te verseker dat daar voldoen word aan sekuriteits-, oortredingskennisgewings-, DPIA- en vooraf konsultasieverpligtinge, met inagneming van die aard van die verwerking en beskikbare inligting.
  • Artikel 28 (9) — Die kontrak moet skriftelik wees, insluitend elektroniese vorm
  • Artikel 35 (1) — Waar verwerking waarskynlik 'n hoë risiko tot gevolg sal hê, is 'n DPIA vereis, en die verwerker moet bystaan

BBP Artikel 28 is die primêre regsgrondslag vir verwerkingskontrakte, en A.2.2.2 bied 'n gestruktureerde manier om te verseker dat kontrakte aan hierdie vereistes voldoen.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.2 as 'n alleenstaande beheermaatreël met duideliker implementeringsriglyne in B.2.2.2 wat die ses areas wat die kontrak moet dek, eksplisiet lys. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.2.2 beoordeel word, sal ouditeure tipies kyk na:

  • Dataverwerkingsooreenkomste — Getekende kontrakte met kliënte wat al ses areas insluit wat in die implementeringsriglyne gespesifiseer word
  • Kontrak sjablone — Standaardkontraksjablone of -klousules wat die organisasie gebruik om konsekwentheid tussen kliëntooreenkomste te verseker
  • Bystandvermoë — Bewyse dat die organisasie die operasionele vermoë het om die bystand te verskaf wat in die kontrak beskryf word (bv. kennisgewingsprosedures vir oortredings, ondersteuningsprosesse vir DPIA)
  • Kontrakhersieningsproses — ’n Gedokumenteerde proses vir die hersiening van kontrakte om te verseker dat PII-beskermingsverpligtinge voldoende aangespreek word
  • Jurisdiksionele nakoming — Bewyse dat kontrakte jurisdiksie-spesifieke vereistes insluit waar van toepassing (bv. onderwerp, duur, tipes persoonlike inligting)

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.2.3 Organisasie se doelwitte Die kontrak definieer die doeleindes waarvoor persoonlike inligting verwerk kan word
A.2.2.6 Kliëntverpligtinge Die verwerker moet inligting verskaf om die kliënt te help om voldoening te demonstreer
A.1.2.7 Kontrakte met PII-verwerkers Die beheerderkant-ekwivalent van verwerkerkontrakvereistes
A.3.11 Beplanning van voorvalbestuur Verpligtinge vir bystand met kennisgewing van oortredings hang af van voorvalbestuursvermoë
A.2.5.8 Aanstelling van subkontrakteur Subkontrakteursreëlings moet ooreenstem met die kliënt se kontrakvoorwaardes

Op wie is hierdie beheer van toepassing?

A.2.2.2 is uitsluitlik van toepassing op PII-verwerkersDit plaas die verpligting op die verwerker om te verseker dat die kontrak sy bystandsrol voldoende aanspreek. Terwyl die beheerder tipies die dataverwerkingsooreenkoms opstel, het die verwerker 'n onafhanklike verpligting om te verifieer dat die kontrak die vereiste areas dek en enige gapings te merk.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van verwerkingsooreenkomste?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van kliëntooreenkomste as 'n PII-verwerker:

  • Kontrakregister — Handhaaf 'n sentrale register van alle dataverwerkingsooreenkomste met hersieningsdatums, voldoeningsstatus en gekoppelde verpligtinge
  • Kontrak sjablone — Gebruik voorafgeboude DPA-sjablone wat al ses areas insluit wat in B.2.2.2 gespesifiseer is, aanpasbaar vir u organisasie se dienste
  • Verpligtingopsporing — Volg die spesifieke bystandverpligtinge in elke kliëntkontrak met taaktoewysings en statusmonitering
  • Hersien skedulering — Beplan periodieke kontrakhersienings met outomatiese herinneringe om te verseker dat ooreenkomste geldig bly
  • Bewyse van voldoening — Stoor getekende ooreenkomste, hersien rekords en vermoëbewyse in 'n gestruktureerde, ouditgereed formaat

Vrae & Antwoorde

Wat gebeur as die kliënt se kontrak nie alle vereiste areas dek nie?

Die verwerker het 'n verpligting om te verseker dat die kontrak sy bystandsrol vervul. Indien die kliënt 'n kontrak verskaf wat vereiste elemente ontbreek, moet die verwerker die gapings merk en wysigings aanvra. Dit is nie voldoende vir die verwerker om bloot 'n onvolledige kontrak te teken nie – A.2.2.2 plaas die verpligting op die verwerker om dekking te verifieer. Waar die kliënt nie bereid is om die kontrak te wysig nie, moet die verwerker die gaping en die risiko dokumenteer en oorweeg of dit gepas is om die reëling aan te gaan.

Word 'n losstaande DPA vereis, of kan bepalings in die hoofdiensooreenkoms ingesluit word?

Beide benaderings is aanvaarbaar. Die belangrikste vereiste is dat die PII-verwerkingsterme skriftelik (insluitend elektroniese vorm) gedokumenteer word en duidelik identifiseerbaar is. Baie organisasies gebruik 'n losstaande DPA as 'n aanhangsel of bylae tot die hoofdiensooreenkoms, wat dit makliker maak om PII-spesifieke terme te hersien en op te dateer sonder om die hele kontrak te heronderhandel. Die formaat maak minder saak as die volledigheid en duidelikheid van die verpligtinge.

Hoe moet die verwerker sy bystandverpligtinge omvat?

Die beheermaatreël spesifiseer dat bystand rekening moet hou met "die aard van verwerking en die inligting wat aan die organisasie beskikbaar is." Dit beteken dat die verwerker se bystandverpligtinge proporsioneel moet wees tot sy rol. 'n Verwerker wat slegs geïnkripteerde data stoor, kan byvoorbeeld beperkte vermoë hê om te help met versoeke om toegang tot data-onderwerpe. Die kontrak moet die omvang en beperkings van bystand duidelik definieer, en oop verbintenisse vermy wat die verwerker nie prakties kan nakom nie.

Aankopespanne vereis toenemend ISO 27701-sertifisering — sien ons verkrygingsvereistegids en verskaffer evalueringsgids.

SaaS-platforms kan pasgemaakte kontrakleiding vind in ons gids vir SaaS-platforms.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.