Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.2.6: Vurdering af indvirkning på privatlivets fred

Kontrol A.1.2.6 kræver, at organisationer vurderer behovet for en konsekvensanalyse af privatlivets fred, når der planlægges ny eller ændret behandling af personoplysninger. Konsekvensanalyser af privatlivets fred er et af de mest praktiske værktøjer til at identificere og afbøde privatlivsrisici, før de opstår.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.2.6?

Organisationen skal vurdere behovet for og, hvor det er relevant, implementere en konsekvensanalyse af privatlivets fred, når der planlægges ny behandling af personoplysninger eller ændringer i eksisterende behandling af personoplysninger.

Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2). I modsætning til de foregående kontroller, der fokuserer på lovligt grundlag og samtykke, introducerer A.1.2.6 en risikovurdering krav. Det kræver en totrinstilgang: for det første vurderes, om en konsekvensanalyse (PIA) er nødvendig (et screeningstrin), og for det andet, hvis det er nødvendigt, udføres den, før behandlingen påbegyndes.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.2.6) indeholder følgende vejledning:

  • Timing er kritisk — Der bør udføres konsekvensanalyser før behandlingen begynder. De er en forebyggende foranstaltning, ikke en tilbagevirkende begrundelse
  • PIA'en bør vurdere:
    • Nødvendighed og proportionalitet — Er behandlingen nødvendig til det angivne formål, og er mængden af ​​indsamlede personoplysninger proportional med behovet?
    • Risici for PII-principaler — Hvilke potentielle skader kan opstå som følge af behandlingen, herunder uautoriseret adgang, tab, diskrimination eller omdømmeskade?
    • Foreslåede afbødninger — Hvilke kontroller, sikkerhedsforanstaltninger eller designvalg vil reducere de identificerede risici til et acceptabelt niveau?
    • Se også A.1.2.4: Bestem hvornår og hvordan samtykke skal indhentes for relaterede krav
    • Se også A.1.2.5: Indhentning og registrering af samtykke for relaterede krav
  • Resultaterne bør være dokumenteret og bruges til at informere beslutninger om behandling — PIA'en er ikke en øvelse i at afkrydse felter, men et beslutningsværktøj
  • Vejledningsreferencerne ISO / IEC 29134 (Retningslinjer for konsekvensanalyse af privatlivets fred) som den detaljerede metodestandard for udførelse af konsekvensanalyser af privatlivets fred

I praksis betyder det, at organisationer har brug for både en screeningsproces (for at afgøre, hvornår en PIA er påkrævet) og en PIA-metode (for at udføre vurderingen, når den udløses).

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.2.6 knytter sig til en væsentlig blok af GDPR bestemmelser:

  • Artikel 35(1)–(11) — Kravene til konsekvensanalyse vedrørende databeskyttelse (DPIA). GDPR pålægger DPIA'er, hvor behandling "sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og frihedsrettigheder" og fastsætter minimumskrav til indhold, herunder: en systematisk beskrivelse af behandling, vurdering af nødvendighed og proportionalitet, vurdering af risici og foranstaltninger til at håndtere risici
  • Artikel 36(1) (ikke kortlagt i bilag D, men tæt relateret)–(5) — Forudgående høring af tilsynsmyndigheden. Hvis en konsekvensanalyse af databeskyttelse indikerer en høj restrisiko, der ikke kan afbødes, skal den dataansvarlige konsultere tilsynsmyndigheden, inden behandlingen påbegyndes.

GDPR's DPIA-krav er mere præskriptivt end ISO 27701-kontrollen – det kræver vurdering af højrisikobehandling, hvorimod A.1.2.6 kræver, at organisationer vurdere behovet for en PIA for enhver ny eller ændret behandling. I praksis vil implementeringen af ​​A.1.2.6 opfylde GDPR DPIA-kravet, forudsat at screeningskriterierne omfatter alle artikel 35-udløsningsscenarier.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter flere ISO 29100-privatlivsprincipper:

  • Samtykke og valg — PIA'er hjælper med at identificere, hvor samtykkemekanismer skal udformes eller styrkes
  • Indsamlingsbegrænsning — Nødvendigheds- og proportionalitetsvurderingen omhandler direkte, om der indsamles for mange personoplysninger
  • Overholdelse af privatlivets fred — PIA'er er en mekanisme til at verificere og demonstrere overholdelse af privatlivskrav, før behandlingen påbegyndes


Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.2.6 vil revisorer typisk se efter:

  • PIA-screeningskriterier — En dokumenteret tærskel eller tjekliste, der bruges til at afgøre, om en fuldstændig konsekvensanalyse (PIA) er påkrævet for en given behandlingsaktivitet eller ændring
  • Screeningsoptegnelser — Dokumentation for, at screeningprocessen blev anvendt på nye og ændrede behandlingsaktiviteter, herunder tilfælde, hvor en fuldstændig konsekvensanalyse blev udarbejdet ikke skønnes nødvendigt (med dokumenteret begrundelse)
  • Færdige PIA-rapporter — Fuldstændige vurderingsdokumenter, der dækker nødvendighed, proportionalitet, risikoanalyse og foreslåede afbødende foranstaltninger
  • Beslutninger om risikobehandling — Bevis for, at der er blevet handlet på konsekvensanalysens resultater — afbødende foranstaltninger er implementeret, behandlingen er ændret eller i nogle tilfælde behandlingen er opgivet
  • Sign-off-optegnelser — Godkendelse fra relevante interessenter (f.eks. databeskyttelsesrådgiver, ledende medarbejdere) af, at konsekvensanalysen (PIA) er blevet gennemgået, og at den resterende risiko er accepteret
  • Tidligere konsultationsoptegnelser — Hvor den resterende risiko forblev høj efter afbødning, dokumentation for, at tilsynsmyndigheden blev hørt (GDPR artikel 36)

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.2.2 Identificér og dokumenter formål Formålsdokumentation er et input til konsekvensanalysen — du kan ikke vurdere nødvendigheden uden at kende formålet
A.1.2.3 Identificér det juridiske grundlag PIA'en bør verificere, at der er et gyldigt retsgrundlag for den planlagte behandling
A.1.4.3 Begræns behandling Proportionalitetsvurderingen i konsekvensanalysen (PIA) informerer beslutninger om dataminimering
A.1.4.6 Anonymisering og sletning af personoplysninger PIA'er kan identificere anonymisering eller sletning som en risikoreducerende foranstaltning
A.1.2.7 Kontrakter med PII-behandlere Hvor behandling involverer tredjepartsdatabehandlere, bør PIA vurdere databehandlerrelaterede risici
ISO / IEC 29134 Den refererede standard, der indeholder detaljeret PIA-metode og retningslinjer

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven fremgik dette krav som klausul 7.2.5 (konsekvensanalyse for privatlivets fred). Kernekravet er uændret — vurder behovet for en konsekvensanalyse for privatlivets fred og udfør en, hvor det er relevant. Omstruktureringen i 2025 til Tabel A.1 giver en klarere adskillelse mellem kontrolerklæringen (A.1.2.6) og vejledningen (B.1.2.6). Henvisningen til ISO/IEC 29134 som den detaljerede PIA-metodologistandard er blevet bevaret, hvilket understreger, at organisationer bør følge en struktureret tilgang snarere end en ad hoc-vurdering. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til vurderinger af konsekvenserne for privatlivets fred?

ISMS.online leverer en komplet PIA-workflow, der tager dig fra screening til godkendelse:

  • PIA-screeningsværktøj — Et indbygget spørgeskema, der afgør, om en fuldstændig vurdering er nødvendig, med dokumenteret begrundelse for hver beslutning
  • Strukturerede PIA-skabeloner — Færdigbyggede vurderingsskabeloner i overensstemmelse med ISO/IEC 29134, der vejleder assessorer gennem planlægning af nødvendighed, proportionalitet, risikoidentifikation og afbødning
  • Risikoscoring og varmekort — Visuel risikoanalyse med sandsynligheds- og konsekvensscoring, hvilket gør det nemt at prioritere afhjælpningsforanstaltninger og kommunikere resultater til interessenter
  • Sporing af afbødende foranstaltninger — Tildel risikohåndteringshandlinger til ejere med deadlines, og spor implementeringsfremskridt inden for den samme platform
  • Godkendelse arbejdsgange — Send udfyldte konsekvensanalyser (PIA'er) til databeskyttelsesrådgiveren eller den øverste ledelse til gennemgang og godkendelse med fuldt revisionsspor for godkendelsesprocessen
  • Tilknyttede beviser — Forbind PIA'er med de behandlingsaktiviteter, det juridiske grundlag og de samtykkeregistre, de vedrører, og skab et komplet billede af compliance

Ofte Stillede Spørgsmål

Hvornår er en konsekvensanalyse for privatlivets fred obligatorisk?

I henhold til ISO 27701:2025 er en PIA ikke automatisk obligatorisk for alle behandlingsaktiviteter — kontrollen kræver, at du vurdere behovet for én. I henhold til artikel 35 i GDPR er en DPIA dog obligatorisk, hvor behandling sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder. Det Europæiske Databeskyttelsesråd har offentliggjort kriterier, herunder: systematisk evaluering af personlige aspekter (profilering), behandling af særlige kategorier i stor skala og systematisk overvågning af offentligt tilgængelige områder. Organisationer bør indarbejde disse udløsere i deres screeningskriterier.

Kan en PIA udføres efter behandlingen allerede er startet?

Både standarden og GDPR forventer, at der udføres konsekvensanalyser (PIA'er) før behandlingen begynder. Hvis du imidlertid opdager, at en konsekvensanalyse af god konsekvensvurdering burde have været udført, men ikke blev, er det bedre at udføre en efterfølgende end slet ikke at udføre en. Den retrospektive konsekvensanalyse kan identificere risici, der kræver øjeblikkelig afbødning eller endda ophør af behandlingen. Revisorer vil bemærke tidsforskellen, men vil se mere positivt på en sen konsekvensanalyse end ingen konsekvensanalyse.

Hvor ofte skal eksisterende PIA'er gennemgås?

Konsekvensanalyser (PIA'er) bør gennemgås, når der sker en væsentlig ændring i den behandling, de dækker – såsom nye datakategorier, nye modtagere, ændringer i teknologi eller ændringer i det lovgivningsmæssige miljø. Bedste praksis er også at fastsætte en periodisk gennemgangsplan (f.eks. årligt) for at fange trinvise ændringer, der muligvis ikke har udløst en individuel gennemgang. Gennemgangen bør vurdere, om den oprindelige risikoanalyse og afbødende foranstaltninger stadig er gyldige.

Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.

A mangelanalyse kan hjælpe dig med at vurdere, om din nuværende PIA-proces opfylder 2025-kravene.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.