Wat vereis beheer A.2.2.5?
Die organisasie moet die kliënt in kennis stel indien 'n verwerkingsinstruksie, na sy mening, toepaslike wetlike vereistes skend.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en skep 'n kritieke veiligheidsnet. Terwyl verwerkers gewoonlik op die kliënt se instruksies optree (A.2.2.3 Organisasiedoelwitte), erken hierdie beheer dat die blindelingse nakoming van elke instruksie tot wetsoortredings kan lei. Indien 'n verwerker identifiseer dat 'n instruksie toepaslike wetgewing sou oortree, het hy 'n verpligting om die saak met die kliënt te opper eerder as om bloot daaraan te voldoen.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.2.5) verskaf die volgende riglyne:
- Konteksafhanklike vermoë — Die organisasie se vermoë om te verifieer of 'n instruksie wetlike vereistes skend, kan afhang van die tegnologiese konteks, van die instruksie self en van die kontrak tussen die organisasie en die kliënt.
- Sien ook A.2.2.4: Bemarkings- en advertensiegebruik vir verwante vereistes
- Sien ook A.2.2.7: Rekords verwant aan die verwerking van persoonlike inligting vir verwante vereistes
Die riglyne erken 'n praktiese realiteit: verwerkers is nie regsadviseurs nie en hul vermoë om oortredende instruksies te identifiseer, sal wissel. 'n Verwerker met diepgaande domeinkundigheid in gesondheidsorgdata is dalk goed geplaas om instruksies te identifiseer wat gesondheidsdataregulasies oortree, terwyl 'n algemene wolkverskaffer dalk nie. Die kwalifiseerder "na sy mening" erken hierdie beperking - die verpligting is om bekommernisse te merk, nie om definitiewe regsanalise te verskaf nie.
Hoe pas dit by die GDPR?
Beheer A.2.2.5 karteer na die volgende BBP Artikel:
- Artikel 28(3)(h) — Die verwerker moet die beheerder onmiddellik in kennis stel indien 'n instruksie, na sy mening, die BBP of ander databeskermingsbepalings van die Unie of lidstaat
Artikel 28(3)(h) van die AVG maak dit 'n eksplisiete wetlike verpligting vir verwerkers wat ingevolge EU-wetgewing werk. Die AVG voeg die woord "onmiddellik" by, wat die dringendheid van die kennisgewingsvereiste beklemtoon.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.5 as 'n losstaande beheermaatreël met bondige maar duidelike implementeringsriglyne in B.2.2.5. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.2.5 beoordeel word, sal ouditeure tipies kyk na:
- Eskalasieprosedure — ’n Gedokumenteerde prosedure vir personeel om kommer uit te spreek wanneer hulle glo dat ’n kliëntinstruksie toepaslike wetlike vereistes kan skend
- Kennisgewingrekords — Rekords van enige geleenthede waar die verwerker 'n kliënt in kennis gestel het dat 'n instruksie die wet mag oortree, insluitend die betrokke instruksie, die uitgespreekte kommer, die kliënt se reaksie en die uitkoms
- Regsbewustheid — Bewyse dat sleutelpersoneel voldoende begrip het van toepaslike databeskermingswetgewing om moontlik oortredende instruksies te identifiseer
- Kontrakbepalings — Kontrakbepalings wat die verwerker se reg en verpligting vasstel om oortredende instruksies te merk, en wat die verwerker beskerm teen aanspreeklikheid vir die weiering om onwettige instruksies na te kom
- Opleiding rekords — Opleiding wat personeelbewustheid dek van die verpligting om potensieel onwettige instruksies te merk
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.2.3 Organisasie se doelwitte | Instruksies wat doeleindes verder uitbrei as wat wettig is, moet gemerk word. |
| A.2.2.2 Kliëntooreenkoms | Die kontrak moet die verwerker se verpligting aanspreek om oortredende instruksies te merk. |
| A.3.13 Wetlike en regulatoriese vereistes | Begrip van toepaslike wetlike vereistes is 'n voorvereiste vir die identifisering van oortredings |
| A.2.2.6 Kliëntverpligtinge | Die aanwys van oortredende instruksies help die kliënt om aan sy eie nakomingsverpligtinge te voldoen. |
| A.3.17 Bewustheid en opleiding | Personeel benodig opleiding om potensiële oortredende instruksies te herken |
Op wie is hierdie beheer van toepassing?
A.2.2.5 is uitsluitlik van toepassing op PII-verwerkersDit plaas die verpligting op die verwerker om proaktief kommer oor die wettigheid van kliëntinstruksies te rapporteer. Dit maak nie die verwerker 'n regsadviseur nie, maar dit vereis wel dat die verwerker redelike oordeel uitoefen gebaseer op sy kennis en kundigheid. Die beheer is van toepassing op alle kliëntinstruksies, of dit nou by die aanvang van die kontrak, tydens die betrokkenheid of as ad hoc-versoeke gegee word.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van nakomingsverpligtinge?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van u verpligting om oortredende instruksies te merk:
- Eskalasiewerkvloeie — Skep gedokumenteerde eskalasieprosedures vir personeel om kommer oor kliëntinstruksies te lug, met ouditspoor en oplossingsopsporing
- Kennisgewingregister — Hou 'n register by van alle kennisgewings wat aan kliënte gestuur word oor moontlik oortredende instruksies, insluitend die instruksie, kommer, reaksie en uitkoms
- Opsporing van wetlike vereistes — Volg toepaslike wetlike vereistes oor jurisdiksies heen, sodat jou span weet watter reëls om op te let wanneer hulle kliëntinstruksies beoordeel
- Opleidingsbestuur — Lewer en monitor opleiding oor die herkenning van oortredende instruksies, met bevoegdheidsassessering
- Kontrakbestuur — Maak seker dat u kontraksjablone klousules insluit wat die reg en verpligting aanspreek om oortredende instruksies te merk
Vrae & Antwoorde
Wat moet die verwerker doen as die kliënt op die instruksie aandring?
Indien die kliënt aandring op 'n instruksie wat die verwerker glo toepaslike wetgewing oortree, het die verwerker sy verpligting nagekom deur die kliënt in kennis te stel. Die verwerker moet die kennisgewing en die kliënt se reaksie dokumenteer. Die verwerker moet egter nie blindelings voldoen nie: bewuste deelname aan onwettige verwerking kan die verwerker aan sy eie regsaanspreeklikheid blootstel. In ernstige gevalle moet die verwerker moontlik regsadvies inwin en uiteindelik die instruksie weier of die kontrak beëindig, afhangende van die erns van die potensiële oortreding.
Moet die verwerker proaktief monitor vir oortredings?
Die beheer vereis dat die verwerker die kliënt inlig wanneer 'n instruksie, na sy mening, die wet oortree. Dit impliseer 'n redelike vlak van bewustheid eerder as omvattende wetlike monitering. Die riglyne erken dat die verwerker se vermoë om oortredings te verifieer, afhang van konteks, die instruksie en die kontrak. Verwerkers word nie verwag om wetlike oudits van elke instruksie uit te voer nie, maar moet bekommernisse wat ontstaan deur normale sakebedrywighede en professionele oordeel, aan die lig bring.
Hoe vinnig moet die verwerker die kliënt in kennis stel?
ISO 27701:2025 spesifiseer nie 'n tydsraamwerk nie, maar GDPR Artikel 28(3)(h) vereis onmiddellike kennisgewing. Die beste praktyk is om die kliënt in kennis te stel sodra die probleem geïdentifiseer word, voordat die instruksie uitgevoer word. Dit stel die kliënt in staat om die instruksie te heroorweeg, regsadvies in te win of verduideliking te verskaf voordat enige potensiële oortredende verwerking plaasvind.
SaaS-organisasies staar unieke verwerkeruitdagings in die gesig — sien ons gids vir SaaS-platforms.
ons gids vir vereistes vir ouditbewyse dek die bewyse wat ouditeure vir verwerkerkontroles verwag.
