Hvad kræver kontrol A.1.4.3?
Organisationen skal begrænse behandlingen af personoplysninger til det, der er tilstrækkeligt, relevant og nødvendigt for de identificerede formål.
Denne kontrol ligger inden for Minimering af personligt identificerbare oplysninger mål (A.1.4) og arbejder sideløbende A.1.4.2 (grænseopkrævning) at skabe en omfattende tilgang til dataminimering. Mens A.1.4.2 Grænseindsamling styrer, hvilke data der kommer ind i organisationen, A.1.4.3 styrer, hvad organisationen gør med disse data, når de er indsamlet. Behandlingen må ikke gå ud over, hvad der er nødvendigt for det angivne formål.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.4.3) indeholder følgende vejledning:
- Behandling må ikke gå ud over de angivne formål — Behandlingsaktiviteter bør ikke gå ud over, hvad der er nødvendigt til de formål, der er dokumenteret og meddelt til personoplysningerne
- Gennemgå behandlingsaktiviteter — Organisationen bør regelmæssigt gennemgå sine behandlingsaktiviteter for at sikre, at de forbliver proportionale med de identificerede formål, og at der ikke er sket nogen omfangsforskydning
- Stop unødvendig behandling — Hvis behandling ikke længere er nødvendig til det angivne formål, bør den ophøre. Dette omfatter automatiseret behandling, der kan fortsætte, efter at det oprindelige behov er ophørt.
- Organisationen skal for hver behandlingsaktivitet kunne påvise, hvorfor den er tilstrækkelig (egnet til formålet), relevant (forbundet med formålet) og nødvendig (ikke kan opnås uden den).
I praksis betyder det, at enhver rapport, analyse, overførsel, backup og automatiseret arbejdsgang, der berører personoplysninger, skal kunne spores til et dokumenteret formål i henhold til A.1.2.2 Identificér og dokumenter formål.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.4.3 knytter sig til GDPR Artikel 25(2), som kræver, at den dataansvarlige implementerer passende tekniske og organisatoriske foranstaltninger for at sikre, at kun personoplysninger, der er nødvendige for hvert specifikt formål med behandlingen, behandles. Dette gælder mængden af indsamlede personoplysninger, omfanget af deres behandling, opbevaringsperioden og deres tilgængelighed.
Dette er den GDPR's krav om "databeskyttelse som standard", og A.1.4.3 giver en struktureret måde at implementere og dokumentere det på.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter direkte ISO 29100 princippet om Minimering af data, som kræver, at behandlingen af personoplysninger begrænses til det minimum, der er nødvendigt for at opfylde de angivne formål. Princippet rækker ud over indsamling og omfatter alle behandlingsaktiviteter, herunder opbevaring, brug, overførsel og bortskaffelse.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.4.3 vil revisorer typisk se efter:
- Behandling af aktivitetsregistre — Et komplet register over behandlingsaktiviteter, der er knyttet til deres angivne formål, og som viser omfanget af behandlingen for hver enkelt
- Proportionalitetsvurderinger — Dokumentation for, at hver behandlingsaktivitet er blevet vurderet med hensyn til tilstrækkelighed, relevans og nødvendighed
- Gennemgå optegnelser — Dokumentation af periodiske gennemgange, der bekræfter, at behandlingen forbliver inden for rammerne af behandlingen, med handlingspunkter, hvor der blev fundet problemer
- Adgangskontroller — Tekniske foranstaltninger, der begrænser, hvem der kan behandle personoplysninger, og til hvilke formål, og som viser, at adgangen er forholdsmæssig
- Nedlukningsoptegnelser — Dokumentation for, at behandlingsaktiviteter stoppes, og at personoplysninger bortskaffes, når formålet er opfyldt
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.4.2 Begrænsning af indsamling | Indsamlingsbegrænsning er forudsætningen; behandlingsbegrænsning forlænger princippet gennem hele livscyklussen |
| A.1.2.2 Identificér og dokumenter formål | Behandlingsgrænser er defineret af de dokumenterede formål |
| A.1.4.5 Mål for minimering af personoplysninger | Giver den overordnede minimeringsramme, der informerer om behandlingsgrænser |
| A.1.4.8 Tilbageholdelse | Opbevaringsperioder definerer, hvornår behandling (herunder opbevaring) skal ophøre |
| A.1.3.11 Automatiseret beslutningstagning | Automatiseret behandling skal også begrænses til det, der er nødvendigt |
| A.1.2.9 Forarbejdningsregistre | Behandlingsregistre giver bevisgrundlaget for at demonstrere behandlingsgrænser |
Hvad har ændret sig fra ISO 27701:2019?
I 2019-udgaven blev behandlingsbegrænsning adresseret under klausul 7.4.2 (begrænse behandling). 2025-kontrollen bevarer det samme kernekrav, men drager fordel af den klarere struktur i den nye Bilag A/B-format. Implementeringsvejledningen omhandler nu mere eksplicit behovet for periodisk gennemgang og forpligtelsen til at ophøre med behandling, når det ikke længere er nødvendigt. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til administration af grænser for behandling af personoplysninger?
ISMS.online hjælper dig med at opretholde løbende kontrol over, hvordan PII behandles på tværs af din organisation:
- Register over behandlingsaktiviteter — Kortlæg hver behandlingsaktivitet til dens dokumenterede formål med klare omfangsgrænser, hvilket gør proportionaliteten synlig med et enkelt blik
- Planlagte gennemgangscyklusser — Indstil automatiske påmindelser om gennemgang for hver behandlingsaktivitet, så omfangsforskydning opdages tidligt
- Rollebaseret adgangskontrol — Håndhæv tekniske grænser for, hvem der kan behandle personoplysninger til hvilke formål, og afstem systemadgang med dokumenteret behandlingsomfang
- Arbejdsgange ved nedlukning — Spor ophør af behandlingsaktiviteter frem til færdiggørelsen, herunder dokumentation for dataslettelse
- Overholdelse dashboards — Se med et hurtigt blik, hvilke behandlingsaktiviteter der skal gennemgås, hvilke der er godkendt, og hvilke der har åbne handlingspunkter
Ofte Stillede Spørgsmål
Hvordan adskiller "grænsebehandling" sig fra "grænseindsamling"?
Indsamlingsbegrænsning (A.1.4.2 Grænseindsamling) styrer, hvilke personoplysninger der kommer ind i organisationen. Behandlingsbegrænsning (A.1.4.3) styrer, hvad der sker med personoplysninger, efter de er blevet indsamlet, herunder opbevaring, analyse, overførsel, rapportering og enhver anden handling udført på dataene. Begge er nødvendige, fordi en organisation kan indsamle de rigtige data, men derefter bruge dem til formål ud over, hvad der oprindeligt blev dokumenteret.
Hvilke praktiske trin forhindrer krympning af behandlingsomfang?
Effektive foranstaltninger omfatter: krav om en ændringsanmodning og en vurdering af beskyttelse af personlige oplysninger før enhver ny brug af eksisterende personoplysninger; implementering af rollebaseret adgang, så kun autoriseret personale kan behandle personoplysninger til godkendte formål; periodisk gennemgang af behandlingsaktiviteter i forhold til dokumenterede formål; og vedligeholdelse af behandlingslogfiler, der kan revideres for usædvanlig eller uautoriseret aktivitet.
Gælder denne kontrol for personligt identificerbare oplysninger, der er gemt i sikkerhedskopier?
Ja. Backuplagring er en form for behandling. Hvis PII opbevares i backups ud over den periode, der er nødvendig for det angivne formål, skal organisationen have en dokumenteret begrundelse (såsom forretningskontinuitet eller juridiske opbevaringskrav) og passende adgangskontroller. Når opbevaringsbegrundelsen udløber, skal PII i backups håndteres gennem jeres bortskaffelsesprocedurer under A.1.4.9 Bortskaffelse.
Se vores vejledning om krav til revisionsbeviser for den specifikke dokumentation, som revisorer forventer i forbindelse med datakvalitets- og minimeringskontroller.
Registrer denne kontrol i din Anvendelseserklæring med din begrundelse for dens anvendelighed.
