Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.2.6: Asiakkaan velvollisuudet

Kontrolli A.2.2.6 edellyttää, että henkilötietojen käsittelijät toimittavat asiakkaalle asianmukaiset tiedot, jotta asiakas voi osoittaa velvoitteidensa noudattamisen. Tämä kontrolli tukee rekisterinpitäjän vastuuvelvollisuusvaatimuksia varmistamalla, että käsittelijät ovat läpinäkyviä käsittelytoimiensa suhteen.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.2.6 edellyttää?

Organisaation on annettava asiakkaalle asianmukaiset tiedot, jotta asiakas voi osoittaa noudattaneensa velvoitteitaan.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee käsittelijän ja rekisterinpitäjän suhteen perustavanlaatuista näkökohtaa: rekisterinpitäjän kykyä osoittaa vastuuvelvollisuus. Rekisterinpitäjillä on lakisääteinen velvollisuus (mukaan lukien GDPR 5(2) artiklan mukaisesti osoittaakseen tietosuojaperiaatteiden noudattamisen, mutta he eivät voi tehdä tätä ilman käsittelijöiltään tietoja siitä, miten henkilötietoja käsitellään. Tämä valvonta varmistaa, että käsittelijöistä ei tule mustaa laatikkoa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.2.6) annetaan seuraavat ohjeet:

  • Tarkastuksen tuki — Asiakkaan tarvitsemat tiedot voivat sisältää sen, salliiko organisaatio asiakkaan tai asiakkaan valtuuttaman tai muuten sopiman muun tilintarkastajan suorittamat auditoinnit ja osallistuuko se niihin.
  • Katso myös A.2.2.3: Organisaation tarkoitukset asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.2.4: Markkinoinnin ja mainonnan käyttö asiaankuuluvia vaatimuksia varten

Ohjeistus korostaa erityisesti auditointioikeuksia keskeisenä mekanismina vaatimustenmukaisuuden osoittamiseksi. Tämä voi tapahtua useilla eri tavoilla: asiakkaan suorittamina paikan päällä tehtävinä auditointeina, asiakkaan määrääminä kolmannen osapuolen auditointeina, sertifiointina tunnustettujen standardien (kuten itse ISO 27701) mukaisesti tai auditointiraporttien, SOC 2 -raporttien tai muiden vaatimustenmukaisuutta koskevien todisteiden toimittamisena pyynnöstä.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.2.6 vastaa seuraavaa GDPR artikkeli:

  • 28 artiklan 3 kohdan h alakohta — Käsittelijän on asetettava rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen 28 artiklassa säädettyjen velvoitteiden noudattamisen osoittamiseksi, sekä sallittava ja osallistuttava rekisterinpitäjän tai rekisterinpitäjän valtuuttaman muun tilintarkastajan suorittamiin tarkastuksiin, mukaan lukien tarkastukset.

GDPR:n artikla 28(3)(h) tekee tästä pakollisen sopimusvelvoitteen, joka edellyttää käsittelijöiltä vaatimustenmukaisuustietojen saataville asettamista ja rekisterinpitäjien tarkastusten aktiivista tukemista. Tämä ei ole valinnaista – se on lakisääteinen vaatimus GDPR:n alaisuudessa toimiville käsittelijöille.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.6 on omana erillisenä kontrollinaan, ja sen toteutusohjeissa korostetaan erityisesti auditointitukea keskeisenä osana. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.2.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tiedon tarjoamiskyky — Todiste siitä, että organisaatio voi toimittaa asiakkaille pyynnöstä asiaankuuluvia vaatimustenmukaisuustietoja, kuten käsittelytietoja, turvatoimenpiteiden dokumentaatiota ja alihankkijan tietoja
  • Tarkastuksen tukimekanismit — Dokumentoitu lähestymistapa asiakasauditointien tukemiseen, olipa kyseessä sitten paikan päällä tehtävät käynnit, kolmannen osapuolen sertifioinnit, jaetut auditointiraportit tai kyselyvastaukset
  • Vaatimustenmukaisuusraportointi — Asiakkaille toimitettavat säännölliset vaatimustenmukaisuusraportit tai koontinäytöt, jotka osoittavat sopimusvelvoitteiden ja lakisääteisten velvoitteiden jatkuvan noudattamisen
  • Sopimusehdot — Sopimuslausekkeet, joissa määritellään toimitettavien vaatimustenmukaisuustietojen laajuus, tiheys ja muoto
  • Vastaustietueet — Asiakkailta vastaanotettujen vaatimustenmukaisuustietopyyntöjen ja annettujen vastausten tiedot

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.2 Asiakassopimus Sopimus määrittelee, mitä vaatimustenmukaisuustietoja käsittelijän on toimitettava.
A.2.2.7 Käsittelyn tiedot Käsittelytietueet ovat asiakkaille keskeinen vaatimustenmukaisuustiedon lähde
A.3.15 Riippumaton arviointi Riippumattomien auditointien tulokset voidaan jakaa asiakkaille vaatimustenmukaisuuden todisteena
A.3.14 Asiakirjojen suojaaminen Vaatimustenmukaisuusrekisterit on säilytettävä turvallisesti ja asetettava saataville tarvittaessa
A.2.5.7 Alihankkijoiden julkistaminen Alihankkijoiden tiedot ovat keskeinen osa vaatimustenmukaisuuden läpinäkyvyyttä

Ketä tämä valvonta koskee?

A.2.2.6 koskee yksinomaan PII-käsittelijätSiinä tunnustetaan, että rekisterinpitäjät ovat riippuvaisia ​​käsittelijöistään vaatimustenmukaisuuden osoittamiseksi tarvittavien tietojen saamiseksi. Ilman näitä tietoja rekisterinpitäjä ei voi täyttää vastuuvelvollisuuksiaan. Käsittelijät, jotka kieltäytyvät antamasta vaatimustenmukaisuustietoja tai vastustavat tarkastuspyyntöjä, tekevät asiakkailleen mahdottomaksi noudattaa tietosuojalainsäädäntöä.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Miksi valita ISMS.online asiakkaiden vaatimustenmukaisuuden tukea varten?

ISMS.online tarjoaa käytännön työkaluja asiakkaidesi vaatimustenmukaisuusvelvoitteiden tukemiseen:

  • Vaatimustenmukaisuutta koskevat todistepaketit — Luo asiakkaille valmiita todistuspaketteja, jotka sisältävät käsittelytietueita, turvatoimenpiteitä, sertifiointitilan ja alihankkijoiden tietoja
  • Tarkastuksen hallinta — Hallitse asiakkaiden auditointipyyntöjä aikataulutuksen, asiakirjojen jakamisen ja löydösten seurannan avulla yhdessä paikassa
  • Sertifiointien hallinta — Seuraa ja jaa ISO 27701-, ISO 27001- ja muita sertifikaattejasi asiakkaiden kanssa todisteena vaatimustenmukaisuudesta
  • Kyselylomakkeiden hallinta — Vastaa asiakkaiden tietoturva- ja yksityisyyskyselyihin tehokkaasti valmiiden vastauskirjastojen avulla
  • Läpinäkyvyyskojelaudat — Tarjoa asiakkaille näkyvyyttä vaatimustenmukaisuustilanteeseesi jaettujen koontinäyttöjen ja raporttien avulla

UKK

Mitä tietoja käsittelijöiden tulisi asettaa asiakkaiden saataville?

Käsittelijöiden tulee olla valmiita toimittamaan: tiedot asiakkaan puolesta suoritetuista käsittelytoimista; toteutetut turvatoimenpiteet; alihankkijan tiedot ja sopimukset; tietomurtojen ilmoitusmenettelyt; tiedonsiirtomekanismit; tietojen säilytys- ja poistomenettelyt; henkilöstön koulutustiedot; sekä tietoturva-auditointien tai penetraatiotestien tulokset. Vaaditut erityistiedot tulee määritellä tietojenkäsittelysopimuksessa, ja niiden tulee olla riittäviä, jotta asiakas voi osoittaa noudattavansa omia velvoitteitaan.

Voiko käsittelijä veloittaa auditointituesta?

Tämä riippuu sopimusehdoista. GDPR edellyttää, että käsittelijä "sallii auditoinnit ja osallistuu niihin", mutta ei kiellä kohtuullisia maksuja käytetystä ajasta ja resursseista. Monet käsittelijät sisällyttävät palvelumaksuihinsa tietyn määrän auditointipäiviä tai kyselyvastauksia vuodessa, ja lisätukea on saatavilla sovittuun hintaan. Käsittelijät eivät voi kieltäytyä auditointipyynnöistä tai kohtuuttomasti estää niitä. Lähestymistavan tulisi olla läpinäkyvä ja siitä tulisi sopia etukäteen sopimuksessa.

Voivatko sertifioinnit korvata asiakasauditoinnit?

Sertifikaatit, kuten ISO 27701- tai SOC 2 -raportit, voivat merkittävästi vähentää yksittäisten asiakastarkastusten tarvetta tarjoamalla riippumattoman varmuuden vaatimustenmukaisuudesta. Monet asiakkaat hyväksyvät nykyiset sertifikaatit riittävänä todisteena. Sertifioinnit eivät kuitenkaan poista asiakkaan oikeutta tarkastukseen GDPR:n 28(3)(h) artiklan nojalla. Käytännössä sertifioinnit tarjotaan ensisijaisena todisteena, ja lisäksi on mahdollista suorittaa asiakaskohtaisia ​​tarkastuksia asiakkaan niitä tarvitessa.

SaaS-organisaatiot kohtaavat ainutlaatuisia prosessorihaasteita – katso opas SaaS-alustoille.

Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien odottamat todisteet käsittelijän kontrolleilta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.