Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.3.11: Automatiseret beslutningstagning

Kontrol A.1.3.11 kræver, at organisationer identificerer og håndterer forpligtelser, der følger af beslutninger, der udelukkende er baseret på automatiseret behandling af personoplysninger. Dette er en af ​​de mest granskede kontroller i ISO 27701:2025, hvilket afspejler det voksende regulatoriske fokus på algoritmisk ansvarlighed.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.3.11?

Organisationen skal identificere forpligtelser, herunder juridiske forpligtelser, over for PII-principalerne som følge af beslutninger truffet af organisationen, som er relateret til PII-principalet udelukkende baseret på automatiseret behandling af PII, og være i stand til at demonstrere, hvordan den opfylder disse forpligtelser.

Denne kontrol falder inden for Forpligtelser over for PII-principaler mål (A.1.3), som sikrer, at organisationer yder passende gennemsigtighed og rettigheder til de personer, hvis data de behandler. Automatiseret beslutningstagning er et område, der giver anledning til stigende lovgivningsmæssig og offentlig bekymring, og denne kontrol kræver, at organisationer proaktivt identificerer, hvor sådanne beslutninger træffes, og implementerer meningsfulde sikkerhedsforanstaltninger.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.3.11) indeholder følgende vejledning:

  • Identificer automatiserede beslutninger — Fastslå, hvor beslutninger træffes udelukkende baseret på automatiseret behandling, der har juridiske virkninger eller lignende betydelige virkninger på personoplysninger (f.eks. kreditvurdering, automatiseret rekrutteringsscreening, forsikringspriser)
  • Giv meningsfuld information — Give PII-principper meningsfuld information om den logik, der er involveret i den automatiserede beslutning, betydningen af ​​behandlingen og de forventede konsekvenser for den enkelte
  • Implementer sikkerhedsforanstaltninger — Indfør foranstaltninger, herunder retten til menneskelig indgriben fra en kvalificeret person, PII-hovedpersonens mulighed for at udtrykke sit synspunkt og PII-hovedpersonens mulighed for at anfægte afgørelsen
  • Organisationen bør dokumentere, hvilke behandlingsaktiviteter der udelukkende involverer automatiseret beslutningstagning, og hvilke sikkerhedsforanstaltninger der er på plads for hver enkelt.
  • Se også A.1.3.2: Forpligtelser over for PII-opdragsgivere for relaterede krav
  • Se også A.1.3.6: Indsigelse mod behandling af personoplysninger for relaterede krav

Der lægges vægt på at sikre, at enkeltpersoner ikke er underlagt følgebeslutninger, der udelukkende træffes af maskiner uden klageadgang. Dette stemmer nøje overens med gennemsigtighedsforpligtelserne i A.1.3.3 og A.1.3.4.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.3.11 knytter sig til flere GDPR bestemmelser:

  • Artikel 13(2)(f) og 14(2)(g) — Kræve, at organisationer informerer registrerede om eksistensen af ​​automatiseret beslutningstagning, herunder profilering, og giver meningsfuld information om den involverede logik, betydningen og de forventede konsekvenser
  • Artikel 22 (1) — Giver registrerede ret til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatisk behandling, som har retsvirkninger eller på lignende måde påvirker dem væsentligt
  • Artikel 22 (3) — Kræver, at den dataansvarlige implementerer passende foranstaltninger til at beskytte den registreredes rettigheder, herunder retten til menneskelig indgriben, til at udtrykke sit synspunkt og anfægte afgørelsen

For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter ISO 29100 princippet om Formålets legitimitet og specifikationAutomatiserede beslutninger skal træffes inden for rammerne af de oprindeligt specificerede og legitime formål. Hvor automatiseret behandling anvendes til at træffe følgebeslutninger, skal organisationen påvise, at denne anvendelse er i overensstemmelse med de formål, der er meddelt til personoplysninger, og at der er truffet passende sikkerhedsforanstaltninger.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.3.11 vil revisorer typisk se efter:

  • Automatiseret beslutningsopgørelse — Et register over alle behandlingsaktiviteter, der udelukkende involverer automatiseret beslutningstagning, herunder de typer af beslutninger, der er truffet, og deres virkninger på personoplysninger
  • Logikdokumentation — Meningsfulde beskrivelser af de algoritmer, modeller eller regler, der bruges til at træffe beslutninger, skrevet på en måde, som en ikke-teknisk person kan forstå
  • Sikkerhedsprocedurer — Dokumenterede processer for menneskelig indgriben, herunder hvem der er bemyndiget til at gennemgå automatiserede beslutninger, hvordan personoplysninger kan anmode om en gennemgang og tidsfristerne for svar
  • Privatlivsmeddelelser — Dokumentation for, at personoplysninger er informeret om automatiseret beslutningstagning, før den finder sted, herunder gennem privatlivsmeddelelser eller specifikke meddelelser
  • Optegnelser over udfordringer — Logfiler over eventuelle anmodninger om menneskelig gennemgang, resultaterne og hvordan organisationen reagerede
  • Konsekvensvurderinger — Konsekvensanalyser af privatlivets fred eller konsekvensanalyser af databeskyttelse, der dækker de automatiserede beslutningssystemer

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.3.3 Bestemmelse af oplysninger for PII-principper Krav om gennemsigtighed, der omfatter information om automatiseret beslutningstagning
A.1.3.4 Oplysninger til PII-hovedpersoner Mekanismen til at kommunikere information om automatiseret beslutningstagning
A.1.2.2 Identificér og dokumenter formål Automatiseret beslutningstagning skal være inden for dokumenterede formål
A.1.2.3 Identificér det juridiske grundlag Der kræves et gyldigt retsgrundlag for den automatiserede behandling
A.1.4.3 Begræns behandling Automatiseret behandling skal forblive proportional med det identificerede formål
A.1.4.4 Nøjagtighed og kvalitet Nøjagtighed af inputdata er afgørende for retfærdige automatiserede beslutninger

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 7.3.10 (automatiseret beslutningstagning). 2025-udgaven har adskilt automatiseret beslutningstagning i sin egen dedikerede kontrol (A.1.3.11), hvilket afspejler den voksende regulatoriske vægt på algoritmisk gennemsigtighed og ansvarlighed. Kravets indhold er det samme, men den eksplicitte påpegelse af menneskelige interventionsrettigheder, evnen til at udtrykke synspunkter og evnen til at anfægte beslutninger er mere fremtrædende. Se Bilag F korrespondancetabel for den fulde kortlægning.



Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til styring af overholdelse af automatiseret beslutningstagning?

ISMS.online giver de værktøjer, du har brug for til at styre automatiseret beslutningstagning i dit privatlivsstyringssystem:

  • Automatiseret beslutningsregister — Katalogiser alle automatiserede beslutningsprocesser, de data, den bruger, de beslutninger, den producerer, og de gældende sikkerhedsforanstaltninger
  • Arbejdsgange for konsekvensanalyse — Kør vurderinger af indvirkning på privatlivets fred for automatiserede beslutningssystemer med indbyggede skabeloner og godkendelsesworkflows
  • Sporing af menneskelige anmeldelser — Registrer og spor anmodninger om menneskelig indgriben, og sørg for at svarene er rettidige og dokumenterede
  • Politikstyring — Vedligehold versionsstyrede politikker for algoritmisk ansvarlighed, knyttet til dine behandlingsregistre
  • Krydskontrolkortlægning — Se, hvordan krav til automatiseret beslutningstagning forbindes med gennemsigtighed, lovgrundlag og datakvalitetskontrol i ét overblik
  • Revisionsklare bevispakker — Eksporter komplet dokumentation af din automatiserede beslutningstagningsstyring til certificeringsrevisioner

Ofte Stillede Spørgsmål

Gælder denne kontrol for al automatiseret behandling?

Nr. A.1.3.11 er specifikt rettet mod beslutninger baseret på Alene om automatiseret behandling, der har retsvirkninger eller lignende betydelige virkninger på personoplysninger. Automatiseret behandling, der understøtter, men ikke udelukkende bestemmer, en beslutning (f.eks. et system, der markerer ansøgninger til menneskelig gennemgang), er mindre tilbøjelig til at falde ind under anvendelsesområdet, selvom der stadig gælder gennemsigtighedsforpligtelser.

Hvad tæller som en "tilsvarende signifikant effekt"?

Ud over juridiske virkninger (såsom afslag på en kreditansøgning) omfatter lignende betydelige virkninger beslutninger, der i væsentlig grad påvirker en persons omstændigheder, adfærd eller valg. Eksempler omfatter automatisk afslag på en jobansøgning, beregning af forsikringspræmier eller afslag på adgang til tjenester. Grænsen er, om beslutningen har en meningsfuld indvirkning på den enkeltes liv.

Hvordan bør organisationer forklare algoritmisk logik til enkeltpersoner?

Standarden kræver "meningsfuld information om den involverede logik" snarere end en fuldstændig teknisk afsløring af algoritmen. I praksis betyder det at forklare, hvilke data der anvendes, de generelle faktorer, der tages i betragtning, hvordan de påvirker resultatet, og hvad de mulige konsekvenser er. Forklaringen bør være i et letforståeligt sprog, som den personoplysningers hovedansvarlige med rimelighed kan forstå.

Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer forventer i forbindelse med automatiserede beslutningskontroller.

For organisationer, der implementerer AI-systemer, se vores omfattende AI-privatlivsstyring Vejledning, der dækker skæringspunktet mellem ISO 27701:2025 og risiko for kunstig intelligens.

Databeskyttelsesrådgivere, der fører tilsyn med automatiseret behandling, bør læse vores vejledning til databeskyttelsesrådgivere.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.