Wat vereis beheer A.2.5.8?
Die organisasie sal slegs 'n subkontrakteur aanstel om PII volgens die kliëntkontrak te verwerk.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en vestig die kontraktuele grondslag vir subverwerking. Verwerkers kan nie vrylik PII-verwerking aan subkontrakteurs delegeer nie. Elke subverwerkingsreëling moet deur die kliëntkontrak gemagtig word, en die subkontrakteur moet gebonde wees aan ekwivalente privaatheidsverpligtinge. Dit beskerm die beheerder se belange dwarsdeur die verwerkingsketting.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.5.8) verskaf die volgende riglyne:
- Skriftelike kliëntmagtiging — Skriftelike magtiging van die kliënt word vereis voor enige subkontrakteursverwerking. Dit kan die vorm van kontrakklousules of 'n spesifieke eenmalige ooreenkoms aanneem.
- Skriftelike subkontrakteurkontrak — Die organisasie moet 'n skriftelike kontrak met elke subkontrakteur hê
- Tabel A.2 beheer — Die subkontrakteurkontrak moet alle toepaslike beheermaatreëls van Tabel A.2 (die PII-verwerkerkontroles)
- Standaard implementering — Subkontrakteurs moet alle A.2-kontroles by verstek implementeer; enige uitsluitings moet geregverdig word
- Sien ook A.2.5.2: Basis vir PII-oordrag tussen jurisdiksies vir verwante vereistes
- Sien ook A.2.5.4: Rekords van PII-bekendmakings aan derde partye vir verwante vereistes
Die riglyne stel 'n duidelike ketting van kontraktuele verpligtinge vas. Die kliënt magtig die subverwerking, die verwerker sluit 'n kontrak met die subkontrakteur en die subkontrakteurkontrak weerspieël die verpligtinge in die verwerker se eie kontrak met die kliënt. Uitsluitings van die A.2-kontroles word slegs toegelaat waar dit geregverdig is, om te verseker dat die privaatheidsbeskerming nie afneem soos verwerking in die ketting afbeweeg nie.
Hoe pas dit by die GDPR?
Beheer A.2.5.8 karteer na die volgende BBP artikels:
- Artikel 28 (2) — Die verwerker mag nie 'n ander verwerker aanstel sonder vooraf spesifieke of algemene skriftelike toestemming van die beheerder nie.
- Artikel 28 (4) — Waar 'n verwerker 'n ander verwerker aanstel, word dieselfde databeskermingsverpligtinge soos uiteengesit in die kontrak tussen die beheerder en die eerste verwerker deur middel van 'n kontrak aan daardie ander verwerker opgelê, veral die verskaffing van voldoende waarborge om toepaslike tegniese en organisatoriese maatreëls te implementeer.
BBP Artikel 28(4) vereis 'n uiteensetting van verpligtinge: die subverwerkerkontrak moet dieselfde verpligtinge op die subverwerker plaas as wat die beheerder op die verwerker geplaas het. Indien die subverwerker versuim om sy verpligtinge na te kom, bly die aanvanklike verwerker ten volle aanspreeklik teenoor die beheerder.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.8 as 'n alleenstaande beheermaatreël met implementeringsriglyne in B.2.5.8 wat eksplisiet vereis dat subkontrakteurskontrakte alle Tabel A.2 beheermaatreëls en vereis dat subkontrakteurs alle A.2-beheermaatreëls by verstek implementeer met geregverdigde uitsluitings. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.8 beoordeel word, sal ouditeure tipies kyk na:
- Kliëntmagtiging — Skriftelike magtiging van elke kliënt vir die gebruik van subkontrakteurs, hetsy deur kontrakklousules (algemene magtiging) of spesifieke goedkeurings (spesifieke magtiging)
- Subkontrakteurskontrakte — Skriftelike kontrakte met elke subkontrakteur wat alle toepaslike A.2-beheermaatreëls aanspreek, met gedokumenteerde regverdigings vir enige uitsluitings
- Verpligtingvloei-afwaarts — Bewyse dat die verpligtinge wat deur die kliëntkontrak aan die verwerker opgelê word, na subkontrakteurskontrakte oorgedra is
- A.2 beheerdekking — 'n Kartering wat toon watter A.2-kontroles in elke subkontrakteurkontrak aangespreek word en die regverdiging vir enige wat uitgesluit word
- Monitering van nakoming van subkontrakteurs — Bewyse dat die organisasie die nakoming van subkontrakteurs met hul kontraktuele verpligtinge monitor, soos ouditresultate, sertifiseringsstatus en prestasie-oorsigte.
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.7 Openbaarmaking van subkontrakteurs | Subkontrakteurs moet aan die kliënt bekend gemaak word voor die aanstelling |
| A.2.2.2 Kliëntooreenkoms | Die kliëntkontrak magtig subverwerking en definieer die voorwaardes |
| A.2.5.3 Lande vir PII-oordrag | Subkontrakteurs se verwerkingsliggings moet gedokumenteer en bekend gemaak word |
| A.2.4.3 Terugbesorging, oordrag of beskikking | Subkontrakteurs moet aan die einde van die kontrak voldoen aan die vereistes vir die verwydering van persoonlike inligting (PII). |
| A.2.2.6 Kliëntverpligtinge | Bewyse van nakoming van subkontrakteurs ondersteun kliëntverantwoordbaarheid |
Op wie is hierdie beheer van toepassing?
A.2.5.8 is uitsluitlik van toepassing op PII-verwerkersWanneer 'n verwerker 'n subkontrakteur aanstel, gaan die beheerder se persoonlike inligting (PII) deur 'n bykomende verwerkingslaag. Die beheerder benodig versekering dat hierdie bykomende laag dieselfde vlak van beskerming bied as die primêre verwerkingsverhouding. Hierdie beheermaatreël verseker dat subverwerking gemagtig, kontraktueel gereguleer en onderhewig is aan die volledige stel A.2-beheermaatreëls.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van subkontrakteursbetrokkenheid?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van subkontrakteursbetrokkenheid:
- Kontrakbestuur — Stoor en bestuur subkontrakteurskontrakte met weergawebeheer, wat elke kontrak aan die toepaslike A.2-kontroles en kliëntmagtigings koppel
- Beheer kartering — Karteer elke subkontrakteurkontrak teen alle A.2-kontroles, met gestruktureerde velde vir die dokumentasie van kontroledekking en geregverdigde uitsluitings
- Magtigingsopsporing — Spoor kliëntmagtigings vir elke subkontrakteur op, insluitend die tipe magtiging (spesifiek of algemeen), datum toegestaan en enige voorwaardes
- Nakomingsmonitering — Monitor subkontrakteursnakoming deur middel van geskeduleerde assesserings, sertifiseringsopsporing en ouditresultaatbestuur
- Verpligtingvloei-afwaarts — Vergelyk kliëntkontrakverpligtinge met subkontrakteurskontrakverpligtinge om te verifieer dat alle vereistes behoorlik nagekom is.
Vrae & Antwoorde
Wat moet die subkontrakteurkontrak insluit?
Die subkontrakteurkontrak moet alle toepaslike beheermaatreëls aanspreek vanaf Tabel A.2 (die PII-verwerkerbeheermaatreëls). Dit sluit in verwerkingsinstruksies, vertroulikheidsverpligtinge, sekuriteitsmaatreëls, ondersteuning van data-onderwerpregte, kennisgewing van oortredings, dataverwydering, bepalings vir grensoorskrydende oordrag en ouditregte. Die subkontrakteur moet alle A.2-beheermaatreëls by verstek implementeer. Enige uitsluitings moet gedokumenteer en geregverdig word op grond van die omvang van die subverwerking. Die kontrak moet ook voortvloei uit dieselfde verpligtinge wat die kliëntkontrak op die verwerker plaas.
Wie is aanspreeklik indien die subkontrakteur sy verpligtinge verbreek?
Ingevolge die AVG bly die aanvanklike verwerker ten volle aanspreeklik teenoor die beheerder vir die uitvoering van die subkontrakteur se verpligtinge. Indien die subkontrakteur versuim om sy databeskermingsverpligtinge na te kom, is die verwerker verantwoordelik. Daarom is robuuste subkontrakteurkontrakte, voldoeningsmonitering en ouditregte noodsaaklik. Die verwerker moet ook verseker dat hy toepaslike vrywaringsbepalings in sy subkontrakteurkontrak het om die kommersiële risiko van subkontrakteur-nie-nakoming te bestuur.
Kan uitsluitings van A.2-kontroles geregverdig word?
Ja, maar uitsluitings moet geregverdig word op grond van die omvang en aard van die subverwerking. Byvoorbeeld, 'n subkontrakteur wat slegs infrastruktuur-hosting verskaf (sonder toegang tot PII-inhoud) kan met reg beheermaatreëls wat verband hou met data-onderwerpe se regte of PII-openbaarmaking uitsluit. Beheermaatreëls wat verband hou met sekuriteit, vertroulikheid en kennisgewing van oortredings sal egter steeds van toepassing wees. Die regverdiging moet gedokumenteer, vir risiko beoordeel en goedgekeur word. Ouditeure sal uitsluitings noukeurig ondersoek om te verseker dat hulle nie gapings in privaatheidsbeskerming skep nie.
Aankopespanne gebruik hierdie kontroles om verwerkers te evalueer — sien ons verkrygingsvereistegids en verskaffer evalueringsgids.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor wat ouditeure van subkontrakteursdokumentasie verwag.
