Hvad er PII-controllerkontrollerne i ISO 27701:2025?
Tabel A.1 af ISO 27701:2025 Bilag A definerer 31 kontroller, der gælder for enhver organisation, der fungerer som en PII-ansvarlig. En PII-ansvarlig er en organisation, der bestemmer formålene og midlerne til behandling af personligt identificerbare oplysninger.
Disse kontroller er grupperet i fire mål:
- Betingelser for indsamling og forarbejdning (A.1.2) — 8 kontroller, der dækker lovligt grundlag, samtykke, vurdering af indvirkning på privatlivets fred, kontrakter og optegnelser
- Forpligtelser over for PII-hovedpersoner (A.1.3) — 10 kontroller, der dækker gennemsigtighed, registreredes rettigheder, automatiserede afgørelser og håndtering af anmodninger
- Privatliv gennem design og privatliv som standard (A.1.4) — 9 kontroller, der dækker dataminimering, opbevaring, bortskaffelse og transmission
- Deling, overførsel og videregivelse af personoplysninger (A.1.5) — 4 kontroller, der dækker grænseoverskridende overførsler og oplysningsregistre
Hver kontrol har en tilsvarende implementeringsvejledning i bilag B (afsnit B.1). For eksempel vejledning til kontrol A.1.2.2 Identificér og dokumenter formål findes i B.1.2.2.
Betingelser for indsamling og forarbejdning (A.1.2)
Formål: At påvise, at behandlingen er lovlig, med et retsgrundlag i henhold til gældende jurisdiktioner og med klart definerede og legitime formål.
| kontrol | Emne | Resumé |
|---|---|---|
| A.1.2.2 Identificér og dokumenter formål | Identificer og dokumenter formål | Identificer og dokumenter de specifikke formål, hvortil PII vil blive behandlet |
| A.1.2.3 Identificér det lovlige grundlag | Identificér det juridiske grundlag | Fastlæg, dokumenter og påvis overholdelse af det relevante retsgrundlag |
| A.1.2.4 Fastlæg samtykke | Bestem hvornår og hvordan samtykke skal indhentes | Dokumentér en proces, der viser, om, hvornår og hvordan samtykke blev indhentet |
| A.1.2.5 Indhentning og registrering af samtykke | Indhent og registrer samtykke | Indhent og registrer samtykke fra PII-ledere i henhold til dokumenterede processer |
| A.1.2.6 Vurdering af indvirkning på privatlivets fred | Vurdering af indvirkning på privatlivets fred | Vurder behovet for og implementering af konsekvensanalyser for privatlivets fred i forbindelse med nye eller ændrede behandlinger |
| A.1.2.7 Kontrakter med PII-behandlere | Kontrakter med PII-behandlere | Sørg for, at skriftlige kontrakter med PII-behandlere omhandler relevante Bilag A kontrol |
| A.1.2.8 Fælles PII-ansvarlig | Fælles PII-controller | Fastlæg roller og ansvarsområder med enhver fælles PII-ansvarlig |
| A.1.2.9 Registrering af behandling af personoplysninger | Optegnelser relateret til behandling af personoplysninger | Fastlæg og opbevar sikkert registre til støtte for PII-behandlingsforpligtelser |
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Forpligtelser over for PII-hovedpersoner (A.1.3)
Mål: At sikre, at personoplysninger, der er ansvarlige for personoplysninger, får passende oplysninger om behandlingen af deres personoplysninger og at opfylde alle andre gældende forpligtelser.
| kontrol | Emne | Resumé |
|---|---|---|
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | Fastlæggelse og opfyldelse af forpligtelser over for PII-principaler | Fastlæg og dokumenter juridiske, regulatoriske og forretningsmæssige forpligtelser over for PII-principper |
| A.1.3.3 Information til PII-principaler | Bestemmelse af oplysninger for PII-principper | Bestem og dokumenter, hvilke oplysninger der skal gives til PII-ledere, og hvornår |
| A.1.3.4 Oplysningsgivning | Give oplysninger til PII-principper | Angiv klare og tilgængelige oplysninger, der identificerer den dataansvarlige og beskriver behandlingen |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Tilvejebringelse af mekanisme til at ændre eller trække samtykke tilbage | Sørg for en mekanisme, hvor personoplysninger kan ændre eller trække samtykke tilbage |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Tilvejebringelse af mekanisme til at gøre indsigelse mod behandling af personoplysninger | Sørg for en mekanisme, hvor personoplysninger kan gøre indsigelse mod behandling |
| A.1.3.7 Adgang, rettelse eller sletning | Adgang, rettelse eller sletning | Implementer politikker og mekanismer til at opfylde forpligtelser vedrørende adgang, rettelse eller sletning |
| A.1.3.8 Underretning af tredjeparter | PII-ansvarliges forpligtelser til at informere tredjeparter | Informer tredjeparter om ændringer, tilbagetrækninger eller indsigelser mod delte personoplysninger |
| A.1.3.9 Levering af kopi af personoplysninger | Levering af kopi af behandlet personoplysninger | Fremvis en kopi af de behandlede personoplysninger, når den ansvarlige personoplysninger anmoder om det |
| A.1.3.10 Håndtering af anmodninger | Håndtering af anmodninger | Definer og dokumenter politikker for håndtering af legitime anmodninger fra PII-principaler |
| A.1.3.11 Automatiseret beslutningstagning | Automatiseret beslutningstagning | Identificer forpligtelser fra beslutninger baseret udelukkende på automatiseret behandling af personoplysninger |
Privatliv gennem design og privatliv som standard (A.1.4)
Mål: At sikre, at processer og systemer er udformet således, at indsamling og behandling af personoplysninger er begrænset til, hvad der er nødvendigt for det identificerede formål.
| kontrol | Emne | Resumé |
|---|---|---|
| A.1.4.2 Grænseindsamling | Begræns indsamling | Begræns indsamling af personoplysninger til det minimum, der er relevant, proportionalt og nødvendigt |
| A.1.4.3 Begræns behandling | Begræns behandling | Begræns behandlingen til, hvad der er tilstrækkeligt, relevant og nødvendigt for de identificerede formål |
| A.1.4.4 Nøjagtighed og kvalitet | Nøjagtighed og kvalitet | Sørg for, at personoplysninger er nøjagtige, fuldstændige og opdaterede i hele deres livscyklus |
| A.1.4.5 Minimering af personoplysninger | Mål for minimering af personoplysninger | Definer og dokumenter mål og mekanismer for dataminimering |
| A.1.4.6 Afidentifikation og sletning | Anonymisering og sletning af personoplysninger | Slet personhenførbare oplysninger eller gør dem uidentificerbare, når de ikke længere er nødvendige |
| A.1.4.7 Midlertidige filer | Midlertidige filer | Bortskaf midlertidige filer fra PII-behandling inden for en dokumenteret periode |
| A.1.4.8 Tilbageholdelse | Retention | Opbevar ikke personoplysninger længere end nødvendigt til behandlingsformål |
| A.1.4.9 Bortskaffelse | Bortskaffelse | Hav dokumenterede politikker, procedurer og mekanismer til bortskaffelse af personoplysninger |
| A.1.4.10 PII-transmissionskontroller | PII-transmissionskontroller | Relevante personoplysninger transmitteret via netværk til relevante kontrolorganer |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Deling, overførsel og videregivelse af personoplysninger (A.1.5)
Formål: At fastslå, om og dokumentere, hvornår personoplysninger deles, overføres eller videregives i overensstemmelse med gældende forpligtelser.
| kontrol | Emne | Resumé |
|---|---|---|
| A.1.5.2 Grundlag for overførsel af personoplysninger | Identificer grundlaget for overførsel af personoplysninger mellem jurisdiktioner | Identificer og dokumenter grundlaget for internationale PII-overførsler |
| A.1.5.3 Lande til overførsel af personoplysninger | Lande og internationale organisationer til overførsel af personoplysninger | Angiv og dokumenter de lande og organisationer, hvortil personoplysninger kan overføres |
| A.1.5.4 Optegnelser over PII-overførsel | Optegnelser over overførsel af personoplysninger | Registrer PII-overførsler til eller fra tredjeparter og sørg for samarbejde |
| A.1.5.5 Registrering af PII-oplysninger | Registrering af videregivelse af personoplysninger til tredjeparter | Registrer oplysninger, herunder hvad der blev videregivet, til hvem og hvornår |
Hvordan hænger disse kontroller sammen med GDPR?
PII-controllerens kontroller knyttes i vid udstrækning til GDPR krav. Vigtige forbindelser omfatter:
- A.1.2 (Indsamling og behandling) kortlægger til GDPR artikel 5-6 (principper og retsgrundlag), artikel 7 (samtykke), artikel 8-9 (børn og særlige kategorier)
- A.1.3 (Forpligtelser over for PII-opdragsgivere) kortlægger til GDPR artikel 12-22 (den registreredes rettigheder, herunder adgang, berigtigelse, sletning, dataportabilitet og automatiserede afgørelser)
- A.1.4 (Privatliv gennem design) kortlægges til GDPR artikel 25 (databeskyttelse gennem design og som standard) og artikel 5(1)(c-e) (minimering, nøjagtighed, lagringsbegrænsning)
- A.1.5 (Overførsler) kortlægger til GDPR artikel 44-49 (internationale overførsler, tilstrækkelighed, sikkerhedsforanstaltninger, bindende selskabsregler)
Hvorfor vælge ISMS.online for overholdelse af PII-kontrollører?
ISMS.online hjælper dig med at implementere og dokumentere alle kontroller i tabel A.1:
- Forudbygget kontrolramme — Alle 31 controllerkontroller er kortlagt og klar til din anvendelighedserklæring
- Samtykkehåndtering — Dokumentationssamtykkeprocesser, registre og tilbagetrækningsmekanismer
- PIA-arbejdsgang — Udfør og spor vurderinger af indvirkning på privatlivets fred med skabelonformularer
- Sporing af anmodninger fra den registrerede — Log og administrer anmodninger om adgang, rettelse og sletning med SLA-sporing
- Overfør poster — Vedligehold et register over internationale overførsler med dokumentation for det juridiske grundlag
- Administration af databehandlerkontrakter — Spor kontrakter, due diligence og compliance-forpligtelser for hver databehandler
Ofte Stillede Spørgsmål
Gælder alle 31 kontroller for alle PII-controllere?
Ikke nødvendigvis. Du skal inkludere alle relevante kontroller i din erklæring om anvendelighed, men kontroller kan udelukkes, hvor din risikovurdering fastslår, at de ikke er nødvendige, eller hvor de ikke er påkrævet i henhold til gældende lov. Enhver udelukkelse skal begrundes.
Hvad er forskellen mellem tabel A.1 og tabel A.3?
Tabel A.1 indeholder kontroller specifikke for PII-ansvarlige (f.eks. samtykke, registreredes rettigheder, vurderinger af konsekvenser for privatlivets fred). Tabel A.3 indeholder informationssikkerhedskontroller, der gælder for både dataansvarlige og databehandlere (f.eks. adgangskontrol, logning, kryptografi). Som PII-dataansvarlig gælder begge tabeller for dig.
Hvor finder jeg implementeringsvejledningen til disse kontroller?
Bilag B, afsnit B.1, indeholder implementeringsvejledning for hver kontrol i tabel A.1. Nummereringen matcher direkte: vejledning til A.1.2.2 Identificér og dokumenter formål er ved B.1.2.2, vejledning til A.1.3.7 Adgang, rettelse eller sletning er ved B.1.3.7, og så videre.
Dokumentér dine valg af controllerstyring i en Anvendelseserklæring for at demonstrere din begrundelse for revisorerne.
Databeskyttelsesrådgivere kan finde en fokuseret oversigt over deres forpligtelser som dataansvarlige i vores vejledning til databeskyttelsesrådgivere.
Se vores vejledning om krav til revisionsbeviser for, hvad revisorer forventer på tværs af disse kontroller.
