Wat vereis beheer A.2.2.6?
Die organisasie moet die kliënt van die toepaslike inligting voorsien sodat die kliënt voldoening aan hul verpligtinge kan demonstreer.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek 'n fundamentele aspek van die verwerker-beheerder-verhouding aan: die beheerder se vermoë om aanspreeklikheid te demonstreer. Beheerders word deur die wet vereis (insluitend BBP Artikel 5(2)) om voldoening aan databeskermingsbeginsels aan te toon, maar hulle kan dit nie doen sonder inligting van hul verwerkers oor hoe PII hanteer word nie. Hierdie beheer verseker dat verwerkers nie 'n swart boks word nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.2.6) verskaf die volgende riglyne:
- Ouditondersteuning — Die inligting wat die kliënt benodig, kan insluit of die organisasie oudits toelaat en daartoe bydra wat deur die kliënt of 'n ander ouditeur wat deur die kliënt gemagtig of andersins ooreengekom is, uitgevoer word.
- Sien ook A.2.2.3: Organisasie se doelwitte vir verwante vereistes
- Sien ook A.2.2.4: Bemarkings- en advertensiegebruik vir verwante vereistes
Die riglyne beklemtoon spesifiek ouditregte as 'n sleutelmeganisme om voldoening aan te toon. Dit kan verskeie vorme aanneem: oudits ter plaatse wat deur die kliënt uitgevoer word, derdeparty-oudits wat deur die kliënt gemandateer word, sertifisering teen erkende standaarde (soos ISO 27701 self), of die verskaffing van ouditverslae, SOC 2-verslae of ander voldoeningsbewyse op versoek.
Hoe pas dit by die GDPR?
Beheer A.2.2.6 karteer na die volgende BBP Artikel:
- Artikel 28(3)(h) — Die verwerker moet alle inligting wat nodig is om voldoening aan die verpligtinge uiteengesit in Artikel 28 aan te toon, aan die beheerder beskikbaar stel, en oudits, insluitend inspeksies, wat deur die beheerder of 'n ander ouditeur wat deur die beheerder gemagtig is, uitgevoer word, moontlik maak en daartoe bydra.
Artikel 28(3)(h) van die AVG maak dit 'n verpligte kontraktuele verpligting, wat vereis dat verwerkers voldoeningsinligting beskikbaar stel en beheerderoudits aktief ondersteun. Dit is nie opsioneel nie - dit is 'n wetlike vereiste vir verwerkers wat onder die AVG werk.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.6 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.2.6 wat spesifiek ouditondersteuning as 'n sleutelkomponent beklemtoon. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.2.6 beoordeel word, sal ouditeure tipies kyk na:
- Inligtingvoorsieningsvermoë — Bewyse dat die organisasie kliënte op versoek van relevante voldoeningsinligting kan voorsien, soos verwerkingsrekords, dokumentasie van sekuriteitsmaatreëls en besonderhede van subverwerkers.
- Ouditondersteuningsmeganismes — ’n Gedokumenteerde benadering tot die ondersteuning van kliëntoudits, hetsy deur middel van besoeke ter plaatse, derdeparty-sertifisering, gedeelde ouditverslae of vraelysantwoorde
- Voldoeningsverslagdoening — Gereelde nakomingsverslae of -dashboards wat aan kliënte verskaf word, wat voortgesette nakoming van kontraktuele en wetlike verpligtinge demonstreer
- Kontrakbepalings — Kontrakklousules wat die omvang, frekwensie en formaat van voldoeningsinligting wat verskaf moet word, definieer
- Reaksierekords — Rekords van versoeke vir voldoeningsinligting wat van kliënte ontvang is en die antwoorde wat verskaf is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.2.2 Kliëntooreenkoms | Die kontrak bepaal watter voldoeningsinligting die verwerker moet verskaf |
| A.2.2.7 Rekords van verwerking | Verwerkingsrekords is 'n belangrike bron van voldoeningsinligting vir kliënte |
| A.3.15 Onafhanklike hersiening | Onafhanklike ouditresultate kan met kliënte gedeel word as bewys van voldoening |
| A.3.14 Beskerming van rekords | Nakomingsrekords moet veilig gehou word en beskikbaar gestel word wanneer nodig |
| A.2.5.7 Openbaarmaking van subkontrakteurs | Subkontrakteurinligting is 'n sleutelelement van nakomingsdeursigtigheid |
Op wie is hierdie beheer van toepassing?
A.2.2.6 is uitsluitlik van toepassing op PII-verwerkersDit erken dat beheerders op hul verwerkers staatmaak vir die inligting wat nodig is om nakoming te demonstreer. Sonder hierdie inligting kan die beheerder nie sy aanspreeklikheidsverpligtinge nakom nie. Verwerkers wat weier om nakomingsinligting te verskaf of ouditversoeke weerstaan, maak dit onmoontlik vir hul kliënte om aan databeskermingswetgewing te voldoen.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir kliënte-nakomingsondersteuning?
ISMS.aanlyn bied praktiese gereedskap om u kliënte se nakomingsverpligtinge te ondersteun:
- Nakomingsbewyspakkette — Genereer voorafgeboude bewyspakkette vir kliënte wat verwerkingsrekords, sekuriteitsmaatreëls, sertifiseringsstatus en subverwerkerbesonderhede bevat
- Ouditbestuur — Bestuur kliëntouditversoeke met skedulering, dokumentdeling en vindopsporing op een plek
- Sertifisering bestuur — Spoor jou ISO 27701-, ISO 27001- en ander sertifisering na en deel dit met kliënte as bewys van voldoening.
- Vraelysbestuur — Reageer doeltreffend op kliënte se sekuriteits- en privaatheidsvraelyste met voorafgeboude antwoordbiblioteke
- Deursigtigheidsdashboards — Verskaf kliënte sigbaarheid in u nakomingsposisie deur gedeelde dashboards en verslae
Vrae & Antwoorde
Watter inligting moet verwerkers aan kliënte beskikbaar stel?
Verwerkers moet voorbereid wees om die volgende te verskaf: besonderhede van verwerkingsaktiwiteite wat namens die kliënt uitgevoer word; geïmplementeerde sekuriteitsmaatreëls; besonderhede en kontrakte van subverwerkers; kennisgewingsprosedures vir oortredings; data-oordragmeganismes; prosedures vir die bewaring en verwydering van data; personeelopleidingsrekords; en die resultate van sekuriteitsoudits of penetrasietoetse. Die spesifieke inligting wat vereis word, moet in die dataverwerkingsooreenkoms gedefinieer word en moet voldoende wees vir die kliënt om voldoening aan sy eie verpligtinge aan te toon.
Kan 'n verwerker vir ouditondersteuning hef?
Dit hang af van die kontrakvoorwaardes. Die AVG vereis dat die verwerker "oudits moet toelaat en daartoe moet bydra", maar verbied nie redelike koste vir die betrokke tyd en hulpbronne nie. Baie verwerkers sluit 'n sekere aantal ouditdae of vraelysantwoorde per jaar in hul diensfooie in, met bykomende ondersteuning beskikbaar teen 'n ooreengekome tarief. Wat verwerkers nie kan doen nie, is om ouditversoeke te weier of onredelik te belemmer. Die benadering moet deursigtig wees en vooraf in die kontrak ooreengekom word.
Kan sertifisering kliëntoudits vervang?
Sertifisering soos ISO 27701- of SOC 2-verslae kan die behoefte aan individuele kliëntoudits aansienlik verminder deur onafhanklike versekering van voldoening te bied. Baie kliënte aanvaar huidige sertifisering as voldoende bewys. Sertifisering skakel egter nie die kliënt se reg om te oudit kragtens GDPR Artikel 28(3)(h) uit nie. Die praktiese benadering is om sertifisering as die primêre bewysmeganisme aan te bied, met die opsie vir bykomende kliëntspesifieke oudits waar die kliënt dit benodig.
SaaS-organisasies staar unieke verwerkeruitdagings in die gesig — sien ons gids vir SaaS-platforms.
ons gids vir vereistes vir ouditbewyse dek die bewyse wat ouditeure vir verwerkerkontroles verwag.
