Wat vereis beheer A.2.5.9?
Die organisasie moet, in die geval van algemene skriftelike magtiging, die kliënt in kennis stel van enige beoogde veranderinge rakende die byvoeging of vervanging van subkontrakteurs om PII te verwerk, en sodoende die kliënt die geleentheid gee om beswaar te maak teen sulke veranderinge.
Hierdie beheer sit binne die PII-oordrag en -openbaarmaking doelwit (A.2.5), wat bepaal hoe PII-verwerkers die deel en verdere oordrag van persoonlike data wat deur hul kliënte aan hulle toevertrou word, bestuur.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.2.5.9) verskaf die volgende riglyne:
- Waar die organisasie die subkontrakteur verander, word skriftelike magtiging van die kliënt vereis voordat enige PII deur die nuwe subkontrakteur verwerk word.
- Hierdie magtiging kan die vorm aanneem van spesifieke kontrakklousules wat die kennisgewing- en beswaarproses uiteensit.
- Alternatiewelik kan dit 'n spesifieke eenmalige ooreenkoms wees wat verkry word voordat die nuwe subkontrakteur met verwerking begin.
- Die kernbeginsel is dat die kliënt beheer behou oor watter entiteite hul persoonlike inligting verwerk, selfs wanneer algemene magtiging verleen is.
- Sien ook A.2.5.2: Basis vir PII-oordrag tussen jurisdiksies vir verwante vereistes
- Sien ook A.2.5.3: Lande en internasionale organisasies vir PII-oordrag vir verwante vereistes
Hierdie riglyne versterk die idee dat algemene magtiging nie algemene toestemming beteken nie. Die kliënt moet altyd die reg hê om veranderinge aan die subkontrakteursgroep te hersien en moontlik te verwerp.
Hoe pas dit by die GDPR?
Beheer A.2.5.9 karteer direk na Artikel 28(2) van die AVG, wat bepaal dat 'n verwerker nie 'n ander verwerker mag aanstel sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. Waar algemene skriftelike magtiging gegee is, moet die verwerker die beheerder in kennis stel van enige beoogde veranderinge rakende die byvoeging of vervanging van ander verwerkers, waardeur die beheerder die geleentheid gegun word om beswaar te maak teen sulke veranderinge.
Dit is een van die mees direk belynde kontroles tussen ISO 27701:2025 en BBP, met die beheerstaal wat die regulasie noukeurig weerspieël.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die volgende ISO 29100-privaatheidsbeginsel:
- Aanspreeklikheid — Handhawing van duidelike aanspreeklikheid vir PII-verwerking dwarsdeur die subkontrakteurs-ketting
- Oopheid, deursigtigheid en kennisgewing — Verseker dat die kliënt ingelig word oor veranderinge wat beïnvloed hoe hul PII verwerk word
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.9 beoordeel word, sal ouditeure tipies kyk na:
- Subkontrakteurregister — 'n Gedokumenteerde lys van alle huidige subkontrakteurs wat aangestel is om PII te verwerk, met datums van aanstelling en omvang van verwerking
- Kennisgewingrekords — Bewyse dat die kliënt ingelig is oor beoogde veranderinge aan subkontrakteurs voordat dit in werking getree het.
- Beswaarproses — ’n Gedefinieerde prosedure vir hoe kliënte besware teen voorgestelde veranderinge kan aanteken, insluitend tydskale
- Kontrakklousules — Skriftelike ooreenkomste wat die kennisgewing- en beswaarmeganisme vir veranderinge aan subkontrakteurs uiteensit
- Magtigingsrekords — Bewys van skriftelike magtiging (hetsy algemeen of spesifiek) verkry van elke kliënt
- Verander geskiedenis — ’n Ouditloger wat alle toevoegings, vervangings en verwyderings van subkontrakteurs oor tyd toon
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.7 Openbaarmaking van subkontrakteurs | Vereis dat die gebruik van subkontrakteurs bekend gemaak word voordat verwerking begin |
| A.2.5.8 Aanstelling van 'n subkontrakteur | Beheer die kontraktuele vereistes wanneer subkontrakteurs aangestel word |
| A.2.2.2 Kliëntooreenkoms | Die oorkoepelende ooreenkoms wat die terme van verwerking definieer, insluitend subkontrakteursbepalings. |
| A.2.2.3 Organisasiedoeleindes | Verwerking moet binne die doeleindes bly wat met die kliënt ooreengekom is, insluitend wanneer subkontrakteurs verander |
| A.3.10 Verskafferooreenkomste | Breër verskafferbestuurvereistes wat van toepassing is op subkontrakteurverhoudings |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe was hierdie vereiste deel van Klousule 8.5.8 (veranderinge in subkontrakteur om PII te verwerk). Die beheerinhoud is wesenlik dieselfde in 2025, maar dit is nou in Tabel A.2 met 'n duideliker skeiding tussen die beheerverklaring (A.2.5.9) en implementeringsriglyne (B.2.5.9). Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van veranderinge aan subkontrakteurs?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van subkontrakteurverhoudings en veranderinge:
- Subkontrakteurregister — Handhaaf 'n gesentraliseerde register van alle subkontrakteurs wat PII verwerk, met omvang, ligging en kontrakbesonderhede.
- Verander werkvloei — Aktiveer kennisgewingswerkvloei wanneer subkontrakteurs bygevoeg of vervang word, met ingeboude goedkeuringstappe
- Kliënt kommunikasie — Neem kennisgewings op wat aan kliënte gestuur word en hou hul reaksies dop, insluitend enige besware wat geopper is
- Kontrakbestuur — Stoor- en weergawebeheer-onderkontrakteursooreenkomste tesame met magtigingsrekords
- Ouditspoor — Genereer 'n volledige geskiedenis van veranderinge aan subkontrakteurs vir ouditbewyse en nakomingsverslagdoening.
Vrae & Antwoorde
Wat is die verskil tussen algemene en spesifieke skriftelike magtiging?
Algemene skriftelike magtiging laat die verwerker toe om subkontrakteurs te gebruik, onderworpe aan kennisgewing aan die kliënt en die geleentheid om beswaar te maak. Spesifieke skriftelike magtiging vereis dat die kliënt elke individuele subkontrakteur goedkeur voordat hulle met verwerking kan begin. A.2.5.9 spreek spesifiek die verpligtinge aan wat ontstaan wanneer algemene magtiging in plek is.
Hoeveel kennisgewing moet gegee word voordat 'n subkontrakteur verander?
ISO 27701:2025 spesifiseer nie 'n minimum kennisgewingstydperk nie, maar die kliënt moet 'n redelike geleentheid hê om beswaar te maak. Die beste praktyk is om die kennisgewingstydperk in u verwerkingsooreenkoms te definieer. Baie organisasies gebruik 30 dae as 'n standaardtydperk, maar dit moet met elke kliënt ooreengekom word op grond van die sensitiwiteit en volume van die betrokke PII.
Wat gebeur as 'n kliënt beswaar maak teen 'n verandering van subkontrakteur?
Indien 'n kliënt beswaar maak, mag die nuwe subkontrakteur nie daardie kliënt se persoonlike inligting verwerk nie. Die organisasie moet 'n gedokumenteerde proses hê vir die hantering van besware, wat kan insluit die behoud van die bestaande subkontrakteur vir daardie kliënt, die aanbied van 'n alternatief, of in sommige gevalle die toelaat van kontrakbeëindiging. Die spesifieke uitkoms moet beheer word deur die bepalings van die verwerkingsooreenkoms.
Aankopespanne gebruik hierdie kontroles om verwerkers te evalueer — sien ons verkrygingsvereistegids en verskaffer evalueringsgids.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor wat ouditeure van subkontrakteursdokumentasie verwag.
