Den Internationale Standardiseringsorganisation (ISO) har udgivet den opdaterede ISO/IEC 27701 standard til håndtering af privatlivsoplysninger i oktober 2025. Tidligere en udvidelse af ISO 27001 og ISO 27002, fastlægger ISO 27701:2025-opdateringen ISO 27701 som en uafhængig standard.
I denne blog udforsker vi forskellene mellem ISO 27701:2025 og dens 2019-udgave og diskuterer, hvad de betyder for din virksomhed.
Hvad har ændret sig i ISO 27701:2025-standarden?
ISO 27701's ændring fra udvidelse til standard i sig selv kommer med en ny titel; Informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse – Systemer til styring af privatlivets fred, hvilket afspejler dens nye status. Dette erstatter den tidligere titel, Sikkerhedsteknikker — Udvidelse til ISO/IEC 27001 og ISO/IEC 27002 til håndtering af privatlivsoplysninger.
Ændringer på overordnet niveau omfatter:
- ISO 27701 er nu en standard snarere end en udvidelse af ISO 27001.
- Ledelsesbestemmelserne 4.1 til 10.2 er blevet tilføjet
- Bilagene er blevet omdøbt og omnummereret
- Privatlivskontrollerne forbliver de samme, med de samme krav
- Et nyt bilag med 29 informationssikkerhedskontroller er blevet tilføjet
- Nye informationssikkerhedskontroller erstatter ISO 27701:2019 klausul 6.
Vi vil undersøge disse ændringer mere dybdegående.
Omstrukturering af klausuler i ISO 27701:2019 til ISO 27701:2025
Standarden har gennemgået en omstrukturering, hvor ledelsesklausulerne 4.1 til 10.2 er blevet introduceret i overensstemmelse med ISO 27001 og ISO 27002.
Den tidligere version af standarden, ISO 27701:2019, indeholdt klausuler, der specificerede PIMS-specifikke krav (Privacy Information Management System) i forhold til ISO 27001, PIMS-specifikke krav i forhold til ISO 27002, yderligere vejledning til PII-ansvarlige (personligt identificerbare oplysninger) og yderligere vejledning til PII-behandlere.
Klausul 1, anvendelsesområde, refererer nu til krav om etablering, implementering, vedligeholdelse og løbende forbedring af et selvstændigt PIMS-system (Privacy Information Management System) i stedet for at opbygge et PIMS som en udvidelse af ISO 27001 og ISO 27002.
Klausul 2, normative referencer, indeholder en kortere liste over referencer, da ISO 27701 nu eksisterer som en standard snarere end en udvidelse. 2025-opdateringen refererer kun til ISO/IEC 29100, Informationsteknologi — Sikkerhedsteknikker — Rammer for beskyttelse af personlige oplysninger.
Fjernede referencer fra 2019-udgaven inkluderer:
- ISO/IEC 27000, Informationsteknologi — Sikkerhedsteknikker — Informationssikkerhedsstyringssystemer — Oversigt og ordforråd
- ISO/IEC 27001:2013, Informationsteknologi — Sikkerhedsteknikker — Informationssikkerhedsstyringssystemer — Krav
- ISO/IEC 27002:2013, Informationsteknologi — Sikkerhedsteknikker — Praksiskodeks for informationssikkerhedskontroller.
Klausul 3, termer, definitioner og forkortelser, er udvidet på grund af standardens bredere anvendelsesområde og indeholder nu referencer til mål, interessenter osv. i overensstemmelse med andre ISO-standarder.
Punkt 4 er nu organisationens kontekst. Denne bestemmelse kræver, at organisationer fastlægger interne og eksterne problemstillinger, der er relevante for deres evne til at opnå de tilsigtede resultater med deres PIMS. De skal også fastlægge de interesserede parters behov og forventninger, fastlægge omfanget af deres PIMS og derefter etablere, implementere, vedligeholde og forbedre deres PIMS.
Punkt 5 er nu ledelse, der erstatter de PIMS-specifikke krav relateret til ISO 27001 fra 2019-standarden. Denne klausul er designet til at sikre, at topledelsen udviser lederskab og engagement i forhold til deres PIMS, etablerer en passende privatlivspolitik og delegerer roller, ansvar og beføjelser på passende vis.
Punkt 6 er nu planlægning, erstatter de PIMS-specifikke krav relateret til ISO 27002 fra 2019-standarden. Denne bestemmelse fokuserer på handlinger til at håndtere risici og muligheder, herunder vurdering og håndtering af risiko for privatlivets fred. Organisationer skal også fastsætte mål for privatlivets fred og planlægge, hvordan de skal nås, samt planlægge ændringer i PIMS.
Punkt 7 er nu support, erstatter den yderligere ISO 27002-vejledning til PII-ansvarlige. Denne bestemmelse kræver, at organisationer sikrer, at passende ressourcer, kompetence, bevidsthed, kommunikation og dokumenteret information er tilgængelig til etablering, implementering, vedligeholdelse og løbende forbedring af PIMS.
Punkt 8 er nu drift, der erstatter den yderligere ISO 27002-vejledning til databehandlere af personoplysninger. Klausulen kræver, at organisationer planlægger, implementerer og kontrollerer de processer, der er nødvendige for at opfylde compliance-krav. Den kræver også, at organisationer udfører risikovurderinger for privatlivets fred og implementerer behandlinger af risikoen for privatlivets fred.
Klausul 9, præstationsevaluering er en ny tilføjelse til standarden. Denne klausul fokuserer på overvågning, måling, analyse og evaluering, herunder interne revisioner og ledelsesgennemgange.
Klausul 10, forbedring, er også en ny tilføjelse til standarden. Den kræver, at organisationer tager skridt til løbende at forbedre deres PIMS.
Klausul 11, yderligere oplysninger om bilag, er en ny tilføjelse og giver oplysninger om bilag C, D, E og F.
Ændringer i bilag
ISO 27701-bilagene er blevet omdøbt og omnummereret, men privatlivskontrollerne forbliver de samme og indeholder de samme krav. Bilag A er samlet til ét, hvor det tidligere var to separate bilag for PII-behandlere og PII-ansvarlige.
Der er dog blevet tilføjet nye informationssikkerhedskontroller.
Nye informationssikkerhedskontroller
De 29 nye informationssikkerhedskontroller er placeret i tabel A.3 – Kontrolmål og kontroller for PII-ansvarlige og PII-behandlere. Kontrollerne omfatter:
- Politikker for informationssikkerhed
- Klassificering af oplysninger
- Identitetsstyring
- Adgangsrettigheder
- Håndtering af informationssikkerhed inden for leverandøraftaler
- Informationssikkerhedsbevidsthed, uddannelse og træning
Og meget mere.
Jeg er allerede ISO 27701-certificeret. Hvad betyder det for mig?
Fristen for overgang til den nye ISO 27701-standard er oktober 2028. Mange af informationssikkerhedskontrollerne i den nye ISO 27701:2025-opdatering er dog direkte i overensstemmelse med kravene til ISO 27001. Som følge heraf bør organisationer, der allerede er certificeret i henhold til ISO 27701 som en udvidelse af ISO 27001, opleve at overgangen til ISO 27701:2025 som en separat standard vil være relativt problemfri.
Styrk din holdning til databeskyttelse i dag
Databeskyttelse er et centralt element i IO's compliance-loop: informationssikkerhed, databeskyttelse og AI-styring, der alle understøtter organisatorisk modstandsdygtighed. Organisationer, der integrerer cyberrobusthed, fremstår hurtigt som ledere i deres branche og opnår en konkurrencefordel. Den opdaterede ISO 27701 understøtter opbygningen af et informationsstyringssystem til beskyttelse af personlige oplysninger og forbedring af databeskyttelsespraksis på en holistisk måde.
IO-platformen og -værktøjerne er klar til at støtte dig nu, lige fra at hjælpe dig med at forstå ændringerne, kontrollere virkningen på din organisations mål for databeskyttelse, implementere vejledning og overgang til din certificering. Lås op for din compliance-fordel i dag – book din demo!
