Hvad kræver kontrol A.1.2.9?
Organisationen skal fastlægge og sikkert opbevare de nødvendige registre til støtte for sine forpligtelser i forbindelse med behandling af personoplysninger.
Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2), som har til formål at påvise, at behandlingen er lovlig, med et retsgrundlag i henhold til gældende jurisdiktioner og med klart definerede og legitime formål. Registrering er måden, hvorpå du beviser, at alt andet fungerer.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.2.9) indeholder detaljeret vejledning om de kategorier af oplysninger, som behandlingsregistre bør indeholde:
- Kategorier af behandling — De typer af behandlingsaktiviteter, der udføres på personoplysninger (indsamling, opbevaring, overførsel, sletning osv.)
- Formål med behandling — En klar redegørelse for, hvorfor hver kategori af personoplysninger behandles, knyttet til den formålsdokumentation, der kræves i henhold til A.1.2.2 Identificér og dokumenter formål
- Kategorier af PII og PII-principper — Hvilke typer personoplysninger opbevares, og om hvem (medarbejdere, kunder, besøgende på hjemmesiden osv.)
- Modtagere — Eventuelle tredjeparter eller databehandlere, der modtager de personoplysninger
- Internationale overførsler — Oplysninger om eventuelle overførsler til andre jurisdiktioner, herunder gældende sikkerhedsforanstaltninger
- Opbevaringsperioder — Hvor længe hver kategori af personoplysninger opbevares før sletning eller anonymisering
- Sikkerhedsforanstaltninger — En generel beskrivelse af de tekniske og organisatoriske foranstaltninger, der beskytter de personlige oplysninger
- Se også A.1.2.4: Bestem hvornår og hvordan samtykke skal indhentes for relaterede krav
- Se også A.1.2.5: Indhentning og registrering af samtykke for relaterede krav
Vejledningen understreger også, at registre skal holdes ajour, efterhånden som behandlingsaktiviteter ændrer sig, og stilles til rådighed for tilsynsmyndighederne efter anmodning. Dette er ikke en engangsdokumentation, men et løbende operationelt krav.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.2.9 knytter sig til flere GDPR bestemmelser:
- Artikel 5 (2) — Ansvarlighedsprincippet, der kræver, at de dataansvarlige påviser overholdelse af reglerne
- Artikel 24 (1) — Forpligtelse til at implementere passende foranstaltninger og kunne påvise overholdelse af reglerne
- Artikel 30(1)(ag) — De detaljerede krav til registre over behandlingsaktiviteter, der opbevares af dataansvarlige
- Artikel 30(3-5) — Krav om, at optegnelser skal være skriftlige (herunder elektroniske), stilles til rådighed for tilsynsmyndigheden efter anmodning, og undtagelser for organisationer med færre end 250 ansatte (med undtagelser)
Artikel 30 betragtes bredt som en af de mest operationelt betydningsfulde GDPR krav. En velholdt fortegnelse over behandlingsaktiviteter (ROPA) er ofte det første dokument, en tilsynsmyndighed anmoder om under en undersøgelse.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Ansvarlighed princippet fra ISO 29100. Ansvarlighed kræver, at organisationen dokumenterer og kommunikerer sine privatlivsrelaterede politikker og procedurer, tildeler ansvar for implementeringen af dem og opbevarer dokumentation for overholdelse. Behandlingsregistre er det primære middel til at demonstrere denne ansvarlighed i praksis.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.2.9 vil revisorer typisk se efter:
- Fortegnelse over behandlingsaktiviteter (ROPA) — Et omfattende register, der dækker alle syv kategorier, der er anført i vejledningen, med dokumentation for regelmæssig gennemgang
- Version kontrol — Dokumentation for, at registre opdateres, når behandlingsaktiviteter ændres, med et tydeligt revisionsspor for ændringer
- Ejerskab og ansvar — En navngiven person eller rolle, der er ansvarlig for at vedligeholde behandlingsregistre
- Tilgængelighed — Dokumentation for, at optegnelser straks kan fremlægges til tilsynsmyndigheder eller revisionsformål
- Fuldstændighedstjek — Procedurer til at sikre, at nye behandlingsaktiviteter registreres i registret, før behandlingen påbegyndes
- Sikkerhed af optegnelser — Selve optegnelserne indeholder følsomme oplysninger og bør beskyttes på passende vis
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.2 Identificér og dokumenter formål | Formålsdokumentation indgår direkte i behandlingsregistre |
| A.1.2.3 Identificér det juridiske grundlag | Det retlige grundlag for hver behandlingsaktivitet bør registreres |
| A.1.4.2 Begrænsning af indsamling | Registreringer bør afspejle, hvilke PII der rent faktisk indsamles, hvilket understøtter minimering |
| A.1.4.6 Anonymisering og sletning af personoplysninger | Opbevaringsperioder i sletteplaner for poster |
| A.1.5.2 Grundlag for overførsel af personoplysninger | Detaljer om internationale overførsler, der er registreret her, er udvidet i overførselsspecifikke kontroller |
| A.1.3.3 Bestemmelse af oplysninger for PII-principper | Oplysninger, der gives til personoplysninger, skal stemme overens med behandlingsregistre |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af klausul 7.2.8 (Register relateret til behandling af personoplysninger). De materielle krav er de samme i 2025, men det omstrukturerede format adskiller nu kontrolerklæringen (A.1.2.9) fra implementeringsvejledningen (B.1.2.9) tydeligere. 2025-udgaven styrker også vægtningen af at holde registre opdaterede som en løbende forpligtelse snarere end en øvelse på et tidspunkt. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til behandling af personoplysninger?
ISMS.online tilbyder specialbyggede værktøjer til at vedligeholde omfattende, kontrollerbare behandlingsregistre:
- Færdige ROPA-skabeloner — Start med et struktureret register, der dækker alle syv kategorier, der kræves i henhold til B.1.2.9, så du ikke går glip af nogen obligatoriske felter
- Automatiseret versionskontrol — Enhver ændring af en behandlingspost spores med tidsstempler, brugeroplysninger og ændringsbeskrivelser, hvilket skaber det revisionsspor, som revisorer forventer.
- Tilknyttede beviser — Forbind behandlingsregistre med relaterede politikker, samtykkeregistre, DPIA'er og overførselsmekanismer i et enkelt integreret system
- Tilsynsmyndighedens eksport — Generer en komplet ROPA-eksport i formater, der er egnede til regulatoranmodninger, klar med et klik på en knap
- Gennemgå påmindelser — Indstil gennemgangscyklusser for hver behandlingsaktivitet, så registreringer forbliver aktuelle, efterhånden som dine aktiviteter udvikler sig
- Rollebaseret adgang — Sørg for, at behandlingsregistre er tilgængelige for autoriseret personale, samtidig med at de forbliver beskyttet mod uautoriserede ændringer
Ofte Stillede Spørgsmål
Skal små organisationer føre registre over behandlinger?
Ja. Selvom GDPR artikel 30(5) giver en begrænset undtagelse for organisationer med færre end 250 ansatte, gælder denne undtagelse ikke, hvis behandlingen sandsynligvis vil medføre en risiko for fysiske personers rettigheder, ikke er lejlighedsvis eller omfatter særlige kategorier af data. I praksis vil de fleste organisationer, der systematisk behandler personoplysninger, skulle føre registre uanset størrelse. ISO 27701 i sig selv indeholder ikke en størrelsesbaseret undtagelse.
Hvor ofte skal behandlingsjournaler gennemgås?
Registre bør gennemgås, når behandlingsaktiviteter ændres, og som minimum som en del af den regelmæssige ledelsesgennemgangscyklus. Mange organisationer fastsætter kvartalsvise eller halvårlige gennemgangsdatoer for det fulde register, med ad hoc-opdateringer udløst af nye behandlingsaktiviteter, ændringer i eksisterende processer eller organisatoriske ændringer såsom nye systemer eller tredjepartsrelationer.
Kan et regneark opfylde dette krav?
Teknisk set ja, men regneark mangler versionskontrol, adgangsbegrænsninger og automatiske påmindelser om gennemgang. Efterhånden som behandlingsaktiviteterne vokser, bliver regneark vanskelige at vedligeholde præcist og er tilbøjelige til fejl. En dedikeret compliance-platform giver den struktur, revisionsmulighed og krydsreferencer, der er nødvendige for at opfylde standarden ensartet over tid.
Dokumentér, hvordan denne kontrol gælder for din organisation i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.
