Wat vereis beheer A.2.5.7?
Voor gebruik moet die organisasie openbaar maak of enige subkontrakteurs gebruik word om PII aan die kliënt te verwerk.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek deursigtigheid van subkontrakteurs aan. Wanneer 'n verwerker subkontrakteurs (subverwerkers) gebruik om PII namens die beheerder te verwerk, moet die beheerder in kennis gestel word voordat die subkontrakteur met verwerking begin. Dit is 'n proaktiewe verpligting: openbaarmaking moet voor gebruik plaasvind, nie daarna nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.5.7) verskaf die volgende riglyne:
- Kontraktuele bepalings — Bepalings vir die openbaarmaking van subkontrakteurs moet in die kliëntkontrak ingesluit word
- Openbaarmakingsomvang — Maak die feit van subkontraktering en die name van die subkontrakteurs bekend
- Land- en oordraginligting — Maak ook die lande en organisasies bekend waar subkontrakteurs data kan oordra en die maniere waarop subkontrakteurs die verwerker se eie verpligtinge nakom of oortref
- Oorwegings vir sekuriteitsrisiko's — Indien die openbaarmaking van subkontrakteurbesonderhede die sekuriteitsrisiko verhoog, kan openbaarmaking gedoen word kragtens 'n nie-openbaarmakingsooreenkoms (NDA) of op versoek. Die landelys moet egter altyd bekend gemaak word, ongeag
- Sien ook A.2.5.4: Rekords van PII-bekendmakings aan derde partye vir verwante vereistes
- Sien ook A.2.5.5: Kennisgewing van versoeke om persoonlike inligting (PII) vir verwante vereistes
Die riglyne balanseer deursigtigheid met sekuriteit. Terwyl volledige besonderhede van subkontrakteurs (insluitend name en voldoeningsstatus) soms kragtens 'n geheimhoudingsooreenkoms bekend gemaak moet word om sekuriteitsrisiko's te voorkom, moet die lande waar PII oorgedra kan word altyd sonder beperking bekend gemaak word. Dit verseker dat beheerders altyd voldoening aan grensoorskrydende oordragte kan beoordeel.
Hoe pas dit by die GDPR?
Beheer A.2.5.7 karteer na die volgende BBP artikels:
- Artikel 28 (2) — Die verwerker mag nie 'n ander verwerker aanstel sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. In die geval van algemene skriftelike magtiging moet die verwerker die beheerder in kennis stel van enige beoogde veranderinge rakende die byvoeging of vervanging van ander verwerkers, waardeur die beheerder die geleentheid kry om beswaar te maak.
- Artikel 28 (4) — Waar 'n verwerker 'n ander verwerker aanstel om spesifieke verwerkingsaktiwiteite namens die beheerder uit te voer, word dieselfde databeskermingsverpligtinge soos uiteengesit in die kontrak tussen die beheerder en die verwerker op daardie ander verwerker opgelê.
BBP Artikel 28(2) vereis óf spesifieke magtiging (wat elke subverwerker benoem) óf algemene magtiging met 'n kennisgewing- en beswaarmeganisme. Hoe dit ook al sy, die beheerder moet van subverwerkers weet voordat hulle met verwerking begin.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.7 as 'n alleenstaande beheermaatreël met implementeringsriglyne in B.2.5.7 wat eksplisiete dekking van land se openbaarmakingsvereistes, NDA-bepalings vir sekuriteitsensitiewe openbaarmakings en die vereiste om te openbaar hoe subkontrakteurs die verwerker se verpligtinge nakom of oortref, byvoeg. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.7 beoordeel word, sal ouditeure tipies kyk na:
- Subkontrakteurregister — 'n Gehoue register van alle subkontrakteurs wat gebruik word om persoonlike inligting te verwerk, insluitend hul name, verwerkingsaktiwiteite, liggings en die datum waarop dit aan elke kliënt bekend gemaak is.
- Voor-aanstelling openbaarmakingsrekords — Bewyse dat subkontrakteurs aan kliënte bekend gemaak is voordat hulle PII begin verwerk het, nie daarna nie
- Landinligting — Dokumentasie van die lande en organisasies waar elke subkontrakteur persoonlike inligting verwerk of oordra
- Bewyse van voldoening — Rekords wat toon hoe subkontrakteurs die verwerker se eie verpligtinge nakom of oortref, soos sertifisering, ouditverslae of kontraktuele verpligtinge
- Kontraktuele bepalings — Kontrakbepalings wat die openbaarmakingsprosedure vir subkontrakteurs definieer, insluitend of spesifieke of algemene magtiging van toepassing is en die kliënt se reg om beswaar te maak
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.8 Aanstelling van subkontrakteurs | Beheer die kontraktuele en magtigingsvereistes vir die werklike aanstelling van die subkontrakteur |
| A.2.5.3 Lande vir PII-oordrag | Subkontrakteurslande moet in die oordragbestemmingslys ingesluit word |
| A.2.5.2 Basis vir PII-oordrag | Oordragte aan subkontrakteurs in ander jurisdiksies vereis 'n gedokumenteerde regsbasis |
| A.2.2.2 Kliëntooreenkoms | Die kontrak definieer die subkontrakteur-magtigingsmodel (spesifiek of algemeen) |
| A.2.2.6 Kliëntverpligtinge | Deursigtigheid van subkontrakteurs help kliënte om hul eie nakoming te demonstreer |
Op wie is hierdie beheer van toepassing?
A.2.5.7 is uitsluitlik van toepassing op PII-verwerkersBeheerders is uiteindelik verantwoordelik vir die verwerking van persoonlike inligting (PII), insluitend verwerking wat deur subverwerkers namens hulle uitgevoer word. Sonder deursigtigheid oor wie hul data verwerk en waar, kan beheerders nie hul aanspreeklikheidsverpligtinge nakom nie. Hierdie beheer verseker dat verwerkers nie subkontrakteurs in die verwerkingsketting insluit sonder die beheerder se medewete nie.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir die bestuur van die openbaarmaking van subkontrakteurs?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van subkontrakteursdeursigtigheid:
- Subkontrakteurregister — Handhaaf 'n gesentraliseerde register van alle subverwerkers, insluitend hul name, verwerkingsaktiwiteite, liggings, sertifisering en voldoeningsstatus
- Openbaarmakingswerkvloeie — Bestuur werkvloeie vir voorbetrokkenheid-openbaarmaking met opgespoorde kliëntkennisgewings, goedkeuringsversoeke en beswaarhantering
- Landkartering — Koppel subkontrakteurs aan hul verwerkingslande, en werk die oordragbestemmingsregister outomaties op wanneer subkontrakteurs verander
- Nakomingsmonitering — Spoor bewyse van voldoening van subkontrakteurs op (sertifisering, ouditverslae, kontrakvoorwaardes) en merk wanneer bewyse verval of hernu moet word
- Kliënteportaal — Verskaf kliënte insig in u subkontrakteurregister, verminder ad hoc-inligtingsversoeke en demonstreer deurlopende deursigtigheid
Vrae & Antwoorde
Watter inligting moet oor subkontrakteurs bekend gemaak word?
Ten minste moet die verwerker die volgende openbaar maak: die feit dat subkontrakteurs gebruik word; die name van die subkontrakteurs; die lande en organisasies waar subkontrakteurs persoonlike inligting kan oordra; en die maniere waarop subkontrakteurs die verwerker se eie verpligtinge nakom of oortref (soos sertifisering, kontraktuele bepalings of ouditresultate). Indien die openbaarmaking van subkontrakteursname 'n sekuriteitsrisiko skep, kan die name kragtens 'n geheimhoudingsooreenkoms of op versoek bekend gemaak word, maar die lys van lande moet altyd openlik bekend gemaak word.
Wat is die verskil tussen spesifieke en algemene magtiging?
Ingevolge Artikel 28(2) van die AVG kan die verwerker spesifieke magtiging verleen (wat elke subverwerker individueel goedkeur voor aanstelling) of algemene magtiging (wat die verwerker algemene toestemming gee om subverwerkers te gebruik, onderhewig aan 'n kennisgewing- en beswaarmeganisme). Met algemene magtiging moet die verwerker die verwerker in kennis stel van enige beoogde veranderinge aan subverwerkers en die verwerker die geleentheid gee om beswaar te maak voordat die verandering in werking tree. Die kontrak moet duidelik aandui watter model van toepassing is.
Kan 'n verwerker weier om die name van subkontrakteurs bekend te maak?
Die Aanhangsel B-riglyne laat toe dat name van openbare bekendmaking weerhou word indien dit die sekuriteitsrisiko verhoog, mits hulle ingevolge 'n geheimhoudingsooreenkoms of op versoek bekend gemaak word. Die verwerker kan egter nie heeltemal weier om name aan die kliënt bekend te maak nie, aangesien die beheerder hierdie inligting benodig om hul eie verpligtinge na te kom. Die lys van lande moet altyd sonder beperking bekend gemaak word. In die praktyk verwag die meeste kliënte volledige name van subkontrakteurs as deel van die dataverwerkingsooreenkoms of 'n publiek beskikbare lys van subverwerkers.
Aankopespanne gebruik hierdie kontroles om verwerkers te evalueer — sien ons verkrygingsvereistegids en verskaffer evalueringsgids.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor wat ouditeure van subkontrakteursdokumentasie verwag.
