Hvad kræver kontrol A.1.2.5?
Organisationen skal indhente og registrere samtykke fra PII-ledere i henhold til de dokumenterede processer.
Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2) og repræsenterer det efterfølgende operationelle trin A.1.2.4 Fastlæg samtykke (udformning af samtykkeprocessen). Hvor A.1.2.4 Fastlæg samtykke definerer hvordan samtykke vil blive indhentet, A.1.2.5 sikrer, at organisationen rent faktisk følger op — indhenter samtykke i praksis og fører optegnelser, der beviser det.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.2.5) indeholder følgende vejledning:
- Organisationen skal kunne påvise, at samtykket blev givet frit givet — Personoplysninger må ikke tvinges, straffes for at nægte eller præsenteres for forudafkrydsede felter
- Samtykke skal være specifikke — knyttet til et bestemt, klart formuleret behandlingsformål snarere end en generel godkendelse
- Samtykke skal være utvetydig og eksplicit — udtrykt gennem en klar bekræftende handling (f.eks. at sætte kryds i en boks, klikke på en knap, underskrive en formular) snarere end udledt af tavshed eller inaktivitet
- Samtykkeregistreringer skal indeholde:
- identiteten af den personoplysninger, der er ansvarlig for den personoplysninger (eller en pseudonym identifikator, der kan linkes tilbage)
- dato og tid samtykke blev givet
- samtykkeerklæring — de specifikke vilkår, som PII-hovedgiveren har accepteret
- Se også A.1.2.6: Vurdering af indvirkning på privatlivets fred for relaterede krav
- Se også A.1.2.7: Kontrakter med PII-behandlere for relaterede krav
Disse tre elementer – frit givne, specifikke og utvetydige og eksplicitte – stemmer overens med GDPR's definition af gyldigt samtykke og er blevet den internationale standard for samtykkekvalitet.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.2.5 knyttes til følgende GDPR bestemmelser:
- Artikel 7 (1) — Hvor behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke. Dette er kravet om direkte ansvarlighed — du skal føre registre
- Artikel 7 (2) — Hvis samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal anmodningen om samtykke være tydeligt forståelig, i en forståelig og lettilgængelig form og i et klart og enkelt sprog.
- Artikel 9 (2) (a) — For særlige kategorier af data kræves udtrykkeligt samtykke. Dette hæver barren fra standardsamtykke — den personoplysninger, der er ansvarlig for personoplysningerne, skal udtrykkeligt bekræfte sit samtykke, typisk gennem et yderligere bekræftende trin.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Samtykke og valg princippet i ISO 29100. Mens A.1.2.4 Fastlæg samtykke omhandler designet af samtykkemekanismen, A.1.2.5 omhandler dens udførelse — sikring af, at den personoplysningers valg faktisk registreres og bevares som bevis. Sammen sikrer disse kontroller den fulde implementering af samtykke- og valgprincippet.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.2.5 vil revisorer typisk se efter:
- Database over samtykkeregistre — En centraliseret lagring af samtykkeregistreringer med de tre nødvendige elementer: identifikation af den personoplysninger, tidspunktet for samtykkets afgivelse og samtykkeerklæringen
- Eksempler på samtykkeerklæringer — Revisorer vil typisk udtage en stikprøve for at verificere fuldstændigheden og kontrollere, at alle felter er udfyldt, og at tidsstemplerne er plausible.
- Skærmbilleder af samtykkemekanismen — Dokumentation for den faktiske brugerflade eller formular, der præsenteres for PII-opdragsgivere, uden forudgående afkrydsningsfelter og med klare krav om positiv særbehandling.
- Versionshistorik — Optegnelser over, hvilken formulering af samtykket der var i brug på det tidspunkt, hvor hvert samtykke blev indhentet, ikke kun den aktuelle version
- Udtrykkeligt samtykke til særlige kategorier — Forbedrede registre for behandling af følsomme data, der viser det yderligere bekræftende skridt, der er taget
- Udbetalingsregistre — Dokumentation for, at anmodninger om tilbagetrækning af samtykke er blevet behandlet, og at behandlingen er ophørt (links til A.1.3.5 Ændring eller tilbagetrækning af samtykke)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.4 Fastslå samtykke | Definerer den samtykkeproces, som A.1.2.5 implementerer |
| A.1.2.3 Identificér det juridiske grundlag | Samtykkeregistrering er kun påkrævet, hvor samtykke er det valgte retsgrundlag. |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Løbende håndtering af samtykke, herunder opdaterings- og tilbagetrækningsmekanismer |
| A.1.3.3 Information til PII-principaler | Informationsgivning er en forudsætning for gyldigt informeret samtykke |
| A.1.2.2 Identificér og dokumenter formål | Samtykket skal henvise til det specifikke dokumenterede formål |
| A.1.2.9 Registrering af behandling af personoplysninger | Samtykkeregistre er en del af de bredere behandlingsregistre |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven optrådte dette krav som klausul 7.2.4 (indhentning og registrering af samtykke). Indholdet af kontrollen er uændret i 2025-udgaven — de tre kvaliteter af gyldigt samtykke (frit givet, specifikt og utvetydigt og eksplicit) og de tre elementer i en samtykkeregistrering (identifikation, tidspunkt og samtykkeerklæring) forbliver de samme. Omstruktureringen til Tabel A.1 giver en renere referencestruktur med kontrolsætningen i A.1.2.5 og implementeringsvejledningen i B.1.2.5. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til håndtering af samtykkeerklæringer?
ISMS.online gør det nemt at indhente, opbevare og dokumentere gyldigt samtykke:
- Centraliseret samtykkeregister — Gem alle samtykkeregistreringer på ét søgbart sted med de fire obligatoriske felter (identitet, dato/tidspunkt, formål, angivne oplysninger) registreret som standard.
- Tidsstemplet revisionsspor — Enhver samtykkehændelse er automatisk tidsstemplet og uforanderlig, hvilket giver revisorer den dokumentation, de har brug for, uden manuel registrering
- Versionsstyret samtykkeformulering — Gem en historik over alle versioner af samtykkeformularen, så du kan bevise, hvilken formulering der blev brugt, da hvert samtykke blev indsamlet
- Sporing af udbetalinger — Registrer tilbagetrækninger af samtykke sammen med det oprindelige samtykke, med automatisk opgaveoprettelse for at sikre, at behandlingen ophører omgående.
- Masseeksport til revisioner — Eksportér samtykkeerklæringer efter datointerval, formål eller behandlingsaktivitet for hurtigt at opbygge bevispakker, når revisionstiden kommer
- Markering af specialkategorier — Identificer automatisk, hvor udtrykkeligt samtykke er påkrævet, og anmod om forbedret positiv særbehandling
Ofte Stillede Spørgsmål
Hvor længe skal samtykkeerklæringer opbevares?
Samtykkeregistre skal opbevares mindst så længe den behandling, de giver tilladelse til, fortsætter, plus den periode, der kræves i henhold til gældende lov for at påvise overholdelse af reglerne. I henhold til GDPR betyder ansvarlighedsprincippet, at du skal kunne bevise, at der har eksisteret et gyldigt samtykke i hele behandlingsperioden. Mange organisationer opbevarer samtykkeregistre i den lovpligtige forældelsesfrist (typisk 6 år i Storbritannien) efter behandlingens ophør, i tilfælde af lovgivningsmæssig indsigelse.
Hvad tæller som en klar positiv særbehandling?
En bekræftende handling kræver et bevidst, positivt skridt fra den personoplysninger, der er ansvarlig for personoplysningerne. Eksempler inkluderer: at markere et ikke-markeret afkrydsningsfelt, klikke på en tydeligt mærket "Jeg accepterer"-knap, underskrive en formular eller afgive en mundtlig erklæring, der optages. Tavshed, forudmarkerede felter, fortsat browsing og manglende framelding er... ikke bekræftende handlinger og udgør ikke et gyldigt samtykke i henhold til denne kontrol eller i henhold til GDPR.
Er elektronisk samtykke lige så gyldigt som skriftligt samtykke?
Ja. ISO 27701:2025 foreskriver ikke formatet for samtykke – elektronisk og skriftligt samtykke er lige gyldige, forudsat at de opfylder de tre kvalitetskriterier (frit givet, specifikt og utvetydigt og eksplicit). Elektronisk samtykke kan faktisk være lettere at dokumentere, fordi digitale systemer automatisk kan registrere tidsstempler, IP-adresser og den nøjagtige version af de præsenterede oplysninger. Nøglen er, at din registreringsmekanisme registrerer alle tre nødvendige elementer pålideligt.
Dokumentér, hvordan denne kontrol gælder for din organisation i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.
