Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.3.10: Håndtering af anmodninger

Kontrol A.1.3.10 kræver, at organisationer definerer og dokumenterer politikker og procedurer for håndtering og besvarelse af legitime anmodninger fra PII-principaler. Dette er den operationelle rygrad, der binder alle andre A.1.3-kontroller sammen.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.3.10?

Organisationen skal definere og dokumentere politikker og procedurer for håndtering og besvarelse af legitime anmodninger fra personoplysninger.

Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Det er den operationelle kontrol, der ligger til grund for alle individuelle rettighedskontroller: tilbagetrækning af samtykke, indvending, adgang, rettelse og sletning, levering af kopier og tredjepartsmeddelelseUden en veldefineret ramme for håndtering af anmodninger bliver individuelle rettigheder teoretiske snarere end praktiske.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.3.10) indeholder vejledning i opbygning af en omfattende ramme for håndtering af anmodninger:

  • Tidsrammer for svar — Definer klare frister for at bekræfte og færdiggøre anmodninger, i overensstemmelse med gældende lovkrav (f.eks. en måned under GDPR, med mulighed for to måneders forlængelse for komplekse anmodninger)
  • Verifikationsprocedurer — Etablere forholdsmæssige procedurer til verifikation af anmoderens identitet, inden anmodningen behandles
  • Eskaleringsstier — Definer, hvem der håndterer rutinemæssige anmodninger, hvornår og hvordan anmodninger eskaleres (f.eks. komplekse anmodninger, anmodninger, der involverer følsomme data, anmodninger, hvor der kan gælde undtagelser)
  • Logføring af anmodninger og resultater — Før en omfattende log over alle modtagne anmodninger, herunder datoer, typer, afgørelser, færdiggørelsesdatoer og eventuelle anvendte undtagelser
  • Selvbetjeningsmuligheder — Overvej at tilbyde selvbetjeningsmekanismer (onlineportaler, præferencecentre), der giver PII-ansvarlige mulighed for at udøve visse rettigheder uden at skulle indsende en formel anmodning
  • uddannelse af personalet — Træn alt relevant personale i procedurerne for håndtering af anmodninger, herunder hvordan man genkender en gyldig anmodning, hvordan man verificerer identitet, og hvordan man bruger systemet til håndtering af anmodninger
  • Se også A.1.3.3: Fastlæggelse af oplysninger for PII-principaler for relaterede krav
  • Se også A.1.3.4: Oplysninger til PII-opdragsgivere for relaterede krav

Vejledningen understreger, at håndtering af anmodninger ikke bør være en ad hoc-proces. En dokumenteret, gentagelig procedure sikrer konsistens, reducerer risikoen for overskredne deadlines og giver det bevisspor, som revisorer forventer.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.3.10 knytter sig til GDPR Artikel 12(3-6) og artikel 15(1)(ah):

  • Artikel 12 (3) — Den dataansvarlige skal give oplysninger om de foranstaltninger, der er truffet på baggrund af en anmodning, uden unødig forsinkelse og under alle omstændigheder inden for en måned efter modtagelsen. Perioden kan forlænges med yderligere to måneder, hvis det er nødvendigt, og den dataansvarlige skal underrette den registrerede inden for en måned.
  • Artikel 12 (4) — Hvis den dataansvarlige ikke reagerer på anmodningen, skal den dataansvarlige straks og senest inden for en måned underrette den registrerede om årsagerne og retten til at indgive en klage.
  • Artikel 12 (5) — Oplysninger og iværksatte foranstaltninger skal gives gratis. Hvis anmodninger er åbenlyst grundløse eller overdrevne, kan den dataansvarlige opkræve et rimeligt gebyr eller nægte at handle.
  • Artikel 12 (6) — Hvis den dataansvarlige har begrundet tvivl om anmoderens identitet, kan vedkommende anmode om yderligere oplysninger
  • Artikel 15(1)(ah) — De specifikke oplysninger, der skal gives som svar på en anmodning om adgang

Artikel 12 i GDPR er den proceduremæssige ramme, der regulerer, hvordan alle registreredes rettigheder udøves. At opnå denne ret er afgørende for at kunne udføre handlinger, der overholder reglerne.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter to ISO 29100-privatlivsprincipper:

  • Individuel deltagelse og adgang — Effektiv håndtering af anmodninger er den mekanisme, hvorigennem enkeltpersoner udøver deres deltagelsesrettigheder
  • Ansvarlighed — Dokumenterede procedurer, logføring og træning viser, at organisationen tager sine forpligtelser alvorligt og kan dokumentere overholdelse


ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.3.10 vil revisorer typisk se efter:

  • Politik for håndtering af anmodninger — En omfattende, dokumenteret politik, der dækker alle anmodningstyper, tidsrammer, roller, eskaleringskriterier og undtagelser
  • Standard driftsprocedurer — Trinvise procedurer for hver anmodningstype (adgang, berigtigelse, sletning, dataportabilitet, indsigelse, tilbagetrækning af samtykke)
  • Anmod om register — En vedligeholdt log over alle anmodninger med datoer, typer, tildelt behandler, status, færdiggørelsesdato og resultat
  • Ydelsesmålinger — Data, der viser gennemsnitlige svartider, færdiggørelsesrater inden for deadline og eventuelle tidsfristbrud med rodårsagsanalyse
  • Procedurer for identitetsbekræftelse — Dokumenterede og forholdsmæssige verifikationstrin for hver kanal, hvorigennem anmodninger modtages
  • Træningsrekorder — Dokumentation for, at personale, der håndterer anmodninger, er blevet oplært, og at oplæringen opdateres regelmæssigt
  • Svarskabeloner — Standardiserede skabeloner for bekræftelse, opfyldelse, delvis opfyldelse og afslag, der sikrer ensartet og juridisk forsvarlig kommunikation

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.3.2 Forpligtelser over for PII-opdragsgivere Identificerer rettighederne; A.1.3.10 giver den operationelle ramme for at opfylde dem
A.1.3.7 Adgang, rettelse eller sletning De mest almindelige anmodningstyper, som håndteringsrammen skal understøtte
A.1.3.9 Levering af kopi af behandlede personoplysninger Anmodninger om kopiering og portabilitet håndteres inden for denne ramme
A.1.3.5 Ændring eller tilbagetrækning af samtykke Anmodninger om tilbagetrækning af samtykke håndteres inden for denne ramme
A.1.3.6 Indsigelse mod behandling af personoplysninger Indsigelsesanmodninger behandles inden for denne ramme
A.1.3.8 Forpligtelser til at informere tredjeparter Tredjepartsnotifikation er et efterfølgende trin i arbejdsgangen for håndtering af anmodninger

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav en del af klausul 7.3.9 (Håndtering af anmodninger). 2025-udgaven giver dette sit eget kontrolnummer (A.1.3.10) med dedikeret vejledning i B.1.3.10. Kernekravene er i det væsentlige de samme, men 2025-udgaven lægger større vægt på selvbetjeningsmuligheder og personaleuddannelse som komponenter i en effektiv håndteringsramme. Det strukturerede format gør det også lettere at revidere denne kontrol uafhængigt. Se Bilag F korrespondancetabel for den fulde kortlægning.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvorfor vælge ISMS.online til håndtering af anmodninger fra den registrerede?

ISMS.online leverer et komplet system til håndtering af anmodninger, der er bygget til at overholde privatlivets fred:

  • Centraliseret anmodningsportal — Ét enkelt indtagelsespunkt for alle anmodninger om personoplysninger, med automatisk kategorisering efter anmodningstype og tildeling til det rette teammedlem
  • Deadline styring — Automatisk beregning af deadlines baseret på den gældende jurisdiktion, med eskaleringsadvarsler, når deadlines nærmer sig, og meddelelser om forsinkede deadlines, hvis de overskrides
  • Arbejdsgang til identitetsbekræftelse — Indbyggede verifikationstrin, der kan konfigureres efter anmodningstype og risikoniveau, hvilket sikrer forholdsmæssige kontroller uden at skabe friktion
  • End-to-end revisionsspor — Enhver handling, der foretages på en anmodning, logges med tidsstempler, fra den første modtagelse til det endelige svar, hvilket skaber det evidensgrundlag, som revisorer har brug for.
  • Ydeevne dashboard — Realtidsmålinger af forespørgselsvolumener, svartider, færdiggørelsesrater og tendenser, der hjælper dig med at identificere operationelle flaskehalse og demonstrere løbende forbedringer
  • Selvbetjeningsintegration — Giv PII-principaler selvbetjeningsmuligheder for almindelige anmodninger (samtykkeadministration, opdatering af præferencer), hvilket reducerer mængden af ​​formelle anmodninger, som dit team skal håndtere

Ofte Stillede Spørgsmål

Hvad gør en anmodning "åbenbart ubegrundet eller overdreven"?

I henhold til GDPR kan en anmodning være åbenlyst grundløs, hvis den enkelte tydeligvis ikke har til hensigt at udøve sine rettigheder (for eksempel ved udelukkende at fremsætte anmodningen for at forårsage forstyrrelse). En anmodning kan være overdreven, hvis den er gentagen, for eksempel at anmode om adgang til de samme data flere gange inden for en kort periode uden ændringer i omstændighederne. Bevisbyrden for at påvise, at anmodningen er grundløs eller overdreven, ligger hos den dataansvarlige. Denne tærskel er bevidst høj, og de fleste reelle anmodninger bør imødekommes.

Hvordan skal du håndtere mundtlige eller uformelle anmodninger?

En gyldig anmodning fra den registrerede behøver ikke at være skriftlig eller bruge et specifikt sprog. Personalet bør være trænet i at genkende, hvornår en mundtlig forespørgsel eller e-mail udgør en gyldig anmodning. Bedste praksis er at registrere anmodningen med det samme i dit sporingssystem og følge den samme procedure som for formelle anmodninger. Hvis identitetsbekræftelse er nødvendig, skal du forklare dette for personen og guide dem gennem processen. Fristen begynder fra den dato, anmodningen modtages, ikke fra det tidspunkt, hvor identiteten er bekræftet.

Hvad skal du gøre, når en anmodning involverer flere rettigheder?

En enkelt kommunikation fra en personoplysningers hovedansvarlige kan indeholde flere anmodninger (f.eks. adgang til deres data og sletning af bestemte poster). Hvert element bør logges og spores separat, da forskellige tidsrammer, undtagelser eller procedurer kan gælde. Svaret kan dog konsolideres i en enkelt kommunikation til den enkelte. Hvor ét element afhænger af et andet (f.eks. at give adgang før sletning, så den enkelte kan verificere dataene), skal sekvensen administreres i overensstemmelse hermed.

Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.

Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.