Meteen naar de inhoud
ISMS.online

ISO 27701:2025 Controle A.2.5.7: Openbaarmaking van onderaannemers die worden gebruikt voor de verwerking van persoonsgegevens

Controle A.2.5.7 vereist dat organisaties aan de klant bekendmaken of er onderaannemers worden ingeschakeld voor de verwerking van persoonsgegevens, voordat deze onderaannemers worden ingeschakeld. Dit geeft verwerkingsverantwoordelijken de transparantie die ze nodig hebben om de risico's van onderaannemers te beoordelen en aan hun eigen nalevingsverplichtingen te voldoen.

Auteur
Max Edwards
Maart 27, 2026 bijgewerkt
4 / 5 sterren

Wat vereist controle A.2.5.7?

Voordat de organisatie persoonsgegevens verwerkt, moet zij aan de klant bekendmaken of er onderaannemers worden ingeschakeld voor de verwerking ervan.

Deze bediening bevindt zich binnen de PII-processorbesturing bijlage (A.2) behandelt de transparantie van onderaannemers. Wanneer een verwerker onderaannemers (subverwerkers) inschakelt om persoonsgegevens namens de verwerkingsverantwoordelijke te verwerken, moet de verwerkingsverantwoordelijke hiervan op de hoogte worden gesteld voordat de onderaannemer met de verwerking begint. Dit is een proactieve verplichting: de informatieverstrekking moet plaatsvinden vóór het gebruik, niet erna.

Wat staat er in de implementatierichtlijnen van bijlage B?

Bijlage B (sectie B.2.5.7) bevat de volgende richtlijnen:

  • Contractuele bepalingen — Bepalingen inzake openbaarmaking van onderaannemers dienen in het klantcontract te worden opgenomen.
  • Omvang van de openbaarmaking — Vermeld het feit dat er sprake is van uitbesteding en de namen van de onderaannemers.
  • Land- en overdrachtsinformatie — Vermeld ook de landen en organisaties waarnaar onderaannemers gegevens kunnen overdragen en de wijze waarop onderaannemers voldoen aan, of zelfs de verplichtingen van de verwerker overtreffen.
  • Overwegingen met betrekking tot beveiligingsrisico's — Als openbaarmaking van details over onderaannemers het veiligheidsrisico verhoogt, kan openbaarmaking plaatsvinden onder een geheimhoudingsovereenkomst (NDA) of op verzoek. De landenlijst moet echter altijd openbaar worden gemaakt, ongeacht de omstandigheden.
  • Zie ook A.2.5.4: Registratie van openbaarmakingen van persoonsgegevens aan derden voor gerelateerde vereisten
  • Zie ook A.2.5.5: Melding van verzoeken om openbaarmaking van persoonsgegevens voor gerelateerde vereisten

De richtlijnen bieden een evenwicht tussen transparantie en veiligheid. Hoewel volledige details van onderaannemers (inclusief namen en nalevingsstatus) soms onder een geheimhoudingsverklaring openbaar moeten worden gemaakt om veiligheidsrisico's te voorkomen, moeten de landen waarnaar persoonsgegevens kunnen worden overgedragen altijd zonder beperkingen worden bekendgemaakt. Dit zorgt ervoor dat verwerkingsverantwoordelijken altijd de naleving van de regels voor grensoverschrijdende overdracht kunnen beoordelen.

Hoe verhoudt dit zich tot de AVG?

Bedieningselement A.2.5.7 komt overeen met het volgende: GDPR artikelen:

  • Artikel 28 (2) — De verwerker mag geen andere verwerker inschakelen zonder voorafgaande, specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In geval van algemene schriftelijke toestemming moet de verwerker de verwerkingsverantwoordelijke op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, zodat de verwerkingsverantwoordelijke de mogelijkheid heeft bezwaar te maken.
  • Artikel 28 (4) — Wanneer een verwerker een andere verwerker inschakelt om namens de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren, gelden voor die andere verwerker dezelfde verplichtingen inzake gegevensbescherming als die welke zijn vastgelegd in het contract tussen de verwerkingsverantwoordelijke en de verwerker.

GDPR Artikel 28(2) vereist ofwel een specifieke machtiging (waarbij elke subverwerker wordt genoemd) ofwel een algemene machtiging met een meldings- en bezwaarmechanisme. In beide gevallen moet de verwerkingsverantwoordelijke op de hoogte zijn van de subverwerkers voordat zij met de verwerking beginnen.

Wat is er veranderd ten opzichte van ISO 27701:2019?

Voor een stapsgewijze aanpak, zie de Overgang van 2019 naar 2025.

In de editie van 2019 werd aan deze eis voldaan binnen de bredere clausulestructuur. De editie van 2025 biedt A.2.5.7 als een op zichzelf staande controle met implementatierichtlijnen in B.2.5.7, die expliciete dekking bieden voor landspecifieke openbaarmakingsvereisten, NDA-bepalingen voor beveiligingsgevoelige informatie en de verplichting om openbaar te maken hoe onderaannemers voldoen aan of de verplichtingen van de verwerker overtreffen. Zie de Bijlage F correspondentietabel voor de volledige kaart.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Demo boeken


Welk bewijsmateriaal verwachten auditors?

Bij het beoordelen van de naleving van A.2.5.7 zullen auditors doorgaans letten op:

  • Register van onderaannemers — Een bijgehouden register van alle onderaannemers die worden ingeschakeld voor de verwerking van persoonsgegevens, inclusief hun namen, verwerkingsactiviteiten, locaties en de datum waarop deze aan elke klant zijn bekendgemaakt.
  • Informatie die voorafgaand aan de opdracht is verstrekt — Bewijs dat onderaannemers aan klanten werden bekendgemaakt vóórdat ze begonnen met het verwerken van persoonsgegevens, en niet erna.
  • Landeninformatie — Documentatie van de landen en organisaties waar elke onderaannemer persoonsgegevens verwerkt of overdraagt.
  • Bewijs van naleving — Documenten waaruit blijkt hoe onderaannemers voldoen aan, of zelfs de verplichtingen van de verwerker overtreffen, zoals certificeringen, auditrapporten of contractuele afspraken.
  • Contractuele bepalingen — Contractbepalingen die de procedure voor het bekendmaken van onderaannemers definiëren, inclusief de vraag of specifieke of algemene toestemming van toepassing is en het recht van de klant om bezwaar te maken.

Welke besturingselementen zijn hierbij betrokken?

Controleer: Verhouding
A.2.5.8 Inschakeling van onderaannemers Regelt de contractuele en autorisatievereisten voor het daadwerkelijk inschakelen van de onderaannemer.
A.2.5.3 Landen voor de overdracht van persoonsgegevens De landen van de onderaannemers moeten worden opgenomen in de lijst met bestemmingen voor de overdracht.
A.2.5.2 Grondslag voor overdracht van persoonsgegevens Overdrachten aan onderaannemers in andere rechtsgebieden vereisen een gedocumenteerde juridische grondslag.
A.2.2.2 Klantenovereenkomst Het contract definieert het autorisatiemodel voor onderaannemers (specifiek of algemeen).
A.2.2.6 Verplichtingen van de klant Transparantie van onderaannemers helpt klanten hun eigen naleving aan te tonen.

Op wie is deze regeling van toepassing?

A.2.5.7 is uitsluitend van toepassing op PII-verwerkersVerantwoordelijken voor de verwerking van persoonsgegevens zijn uiteindelijk verantwoordelijk voor de verwerking ervan, inclusief verwerkingen die door subverwerkers namens hen worden uitgevoerd. Zonder transparantie over wie hun gegevens verwerkt en waar, kunnen verantwoordelijken niet aan hun verantwoordingsverplichtingen voldoen. Deze controle zorgt ervoor dat verwerkers geen onderaannemers in de verwerkingsketen betrekken zonder medeweten van de verantwoordelijke.



Het krachtige dashboard van ISMS.online

Ga eenvoudig aan de slag met een persoonlijke productdemo

Een van onze onboarding-specialisten legt u graag uit hoe ons platform werkt, zodat u vol vertrouwen aan de slag kunt.

Boek uw demo


Waarom kiezen voor ISMS.online voor het beheer van de openbaarmaking van informatie door onderaannemers?

ISMS.online Biedt praktische hulpmiddelen voor het beheren van de transparantie van onderaannemers:

  • Register van onderaannemers — Houd een centraal register bij van alle subverwerkers, inclusief hun namen, verwerkingsactiviteiten, locaties, certificeringen en nalevingsstatus.
  • Werkprocessen voor openbaarmaking — Beheer workflows voor informatieverstrekking voorafgaand aan de samenwerking met bijgehouden klantnotificaties, goedkeuringsverzoeken en bezwaarafhandeling.
  • Landkaart — Koppel onderaannemers aan hun verwerkingslanden en werk het register met overdrachtsbestemmingen automatisch bij wanneer onderaannemers wijzigen.
  • Nalevingscontrole — Houd bij of onderaannemers voldoen aan de vereisten (certificeringen, auditrapporten, contractvoorwaarden) en geef een signaal wanneer bewijsmateriaal verloopt of vernieuwd moet worden.
  • Customer portal — Geef klanten inzicht in uw register van onderaannemers, waardoor ad-hoc informatieverzoeken worden verminderd en continue transparantie wordt aangetoond.

Veelgestelde vragen

Welke informatie moet over onderaannemers worden openbaar gemaakt?

De verwerker moet minimaal het volgende openbaar maken: het feit dat er gebruik wordt gemaakt van onderaannemers; de namen van de onderaannemers; de landen en organisaties waarnaar onderaannemers persoonsgegevens kunnen overdragen; en de wijze waarop onderaannemers voldoen aan, of de verplichtingen van de verwerker overtreffen (zoals certificeringen, contractuele voorwaarden of auditresultaten). Indien het openbaar maken van de namen van onderaannemers een veiligheidsrisico vormt, kunnen de namen worden bekendgemaakt onder een geheimhoudingsverklaring of op verzoek, maar de landenlijst moet altijd openbaar worden gemaakt.

Wat is het verschil tussen een specifieke en een algemene machtiging?

Op grond van artikel 28(2) van de AVG kan de verwerkingsverantwoordelijke specifieke machtigingen verlenen (waarbij elke subverwerker afzonderlijk wordt goedgekeurd vóór de inschakeling) of algemene machtigingen (waarbij de verwerker in het algemeen toestemming krijgt om subverwerkers in te schakelen, onder voorbehoud van een meldings- en bezwaarprocedure). Bij een algemene machtiging moet de verwerker de verwerkingsverantwoordelijke informeren over eventuele voorgenomen wijzigingen in subverwerkers en de verwerkingsverantwoordelijke de mogelijkheid bieden om bezwaar te maken voordat de wijziging van kracht wordt. In het contract moet duidelijk worden vermeld welk model van toepassing is.

Kan een verwerker weigeren de namen van onderaannemers bekend te maken?

De richtlijnen in Bijlage B staan ​​toe dat namen niet openbaar gemaakt mogen worden als dit het veiligheidsrisico verhoogt, mits ze worden vrijgegeven onder een geheimhoudingsverklaring (NDA) of op verzoek. De verwerker mag echter niet weigeren om namen volledig aan de klant te verstrekken, aangezien de verwerkingsverantwoordelijke deze informatie nodig heeft om aan zijn eigen verplichtingen te voldoen. De landenlijst moet altijd zonder beperkingen openbaar gemaakt worden. In de praktijk verwachten de meeste klanten dat de volledige namen van onderaannemers deel uitmaken van de gegevensverwerkingsovereenkomst of dat er een openbaar beschikbare lijst van onderaannemers is.

Inkoopteams gebruiken deze controles om verwerkers te evalueren — zie onze Handleiding voor inkoopvereisten en handleiding voor leveranciersevaluatie.

Ons Richtlijnen voor de vereisten voor auditbewijs Dit document beschrijft wat auditors van de documentatie van onderaannemers verwachten.

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - voorjaar 2026
Top performer - voorjaar 2026 Small Business UK
Regionale leider - Lente 2026 EU
Regionaal leider - voorjaar 2026 EMEA
Regionale leider - voorjaar 2026 VK
Hoogpresterend - voorjaar 2026, middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.