Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.4.5: Mål for minimering af personoplysninger

Kontrol A.1.4.5 kræver, at organisationer definerer og dokumenterer mål for dataminimering sammen med de mekanismer, der anvendes til at nå dem. Dette er den strategiske kontrol, der binder alle de taktiske minimeringstiltag i A.1.4-familien sammen.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.4.5?

Organisationen skal definere og dokumentere mål for dataminimering og hvilke mekanismer (såsom anonymisering) der anvendes til at nå disse mål.

Denne kontrol ligger inden for Minimering af personligt identificerbare oplysninger mål (A.1.4) og fungerer som planlægningslag for alle minimeringsaktiviteter. Mens kontroller som f.eks. A.1.4.2 (grænseopkrævning) og A.1.4.3 (grænsebehandling) For at adressere specifikke aspekter af minimering kræver A.1.4.5, at organisationen tager et skridt tilbage og definerer, hvad den forsøger at opnå overordnet, og hvilke værktøjer den vil bruge til at nå dertil.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.4.5) indeholder følgende vejledning:

  • Identificér minimeringsmekanismer — Organisationen bør overveje en række teknikker, herunder afidentifikation, pseudonymisering, aggregering og sletning af unødvendige felter
  • Kortlægningsmekanismer til PII-kategorier — Dokumentér hvilken minimeringsmekanisme der anvendes på hver kategori af personoplysninger, og skab en klar registrering af, hvordan data reduceres eller beskyttes
  • Gennemgå med jævne mellemrum — Minimeringsmål og de anvendte mekanismer bør gennemgås med jævne mellemrum for at sikre, at de forbliver passende, efterhånden som behandlingsaktiviteter, teknologi og risici udvikler sig
  • Valget af mekanisme bør afspejle de personoplysningers følsomhed, de formål, hvortil de behandles, og risiciene for personoplysningernes hovedansvarlige.
  • Se også A.1.4.4: Nøjagtighed og kvalitet for relaterede krav
  • Se også A.1.4.10: PII-transmissionskontroller for relaterede krav

Denne kontrol handler om at have en bevidst, dokumenteret strategi snarere end at anvende minimeringsteknikker på ad hoc-basis. Organisationen bør kunne vise revisorer et klart billede af sin minimeringstilgang på tværs af alle PII-kategorier.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.4.5 knyttes til to GDPR artikler:

  • Artikel 5, stk. 1, litra c) — Dataminimering: Personoplysninger skal være tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt
  • Artikel 5, stk. 1, litra e) — Opbevaringsbegrænsning: Personoplysninger bør opbevares i en form, der tillader identifikation af de registrerede i højst nødvendigt omfang.

Samlet set kræver disse principper, at organisationer tænker strategisk omkring minimering, hvilket er præcis, hvad A.1.4.5 kræver gennem kravet om at definere mål og vælge passende mekanismer.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter to ISO 29100 principper:

  • Minimering af data — Det overordnede krav om at minimere behandling af personoplysninger til det strengt nødvendige
  • Begrænsning af brug, opbevaring og videregivelse — Begrænsning af brugen og opbevaringen af ​​personoplysninger, hvilket minimeringsmekanismer som f.eks. afidentifikation og aggregering direkte understøtter


klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.4.5 vil revisorer typisk se efter:

  • Minimeringspolitik eller -strategi — En dokumenteret redegørelse for organisationens minimeringsmål, herunder hvilke resultater den sigter mod at opnå
  • Mekanismeregister — En registrering, der knytter hver PII-kategori til den anvendte minimeringsmekanisme (f.eks. pseudonymisering for analysedata, aggregering for rapporteringsdata, sletning af midlertidige behandlingsdata)
  • Begrundelse for valg af teknik — Dokumentation for, at valget af minimeringsteknik blev vurderet i forhold til følsomhed, formål og risiko og ikke anvendt vilkårligt
  • Periodiske gennemgangsregistre — Dokumentation for, at mål og mekanismer gennemgås som en del af ledelsens evalueringscyklus, med opdateringer, når behandlingsaktiviteter ændres
  • Implementeringsbeviser — Bevis for, at de dokumenterede mekanismer faktisk er i brug (f.eks. pseudonymiseringskonfigurationer, aggregeringsoutput, sletningslogfiler)

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.4.2 Begrænsning af indsamling Indsamlingsbegrænsning er en af ​​de taktiske kontroller, som minimeringsmål styrer
A.1.4.3 Begræns behandling Behandlingsbegrænsning er drevet af minimeringsmålene
A.1.4.6 Afidentifikation og sletning Afidentifikation er en nøglemekanisme til at nå minimeringsmål
A.1.4.7 Midlertidige filer Bortskaffelse af midlertidige filer er en del af minimeringsstrategien
A.1.4.8 Tilbageholdelse Opbevaringsperioder definerer tidsdimensionen for minimering
A.1.4.9 Bortskaffelse Sikker bortskaffelse er det sidste trin i minimeringslivscyklussen

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var minimeringsmål dækket under punkt 7.4.4 (mål for minimering af personoplysninger). Kontrollen for 2025 er i det væsentlige den samme, med samme fokus på at definere mål og vælge mekanismer. Det omstrukturerede format giver klarere implementeringsvejledning i bilag B, og den eksplicitte omtale af anonymisering som en eksempelmekanisme i selve kontrolerklæringen giver en stærkere retning. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til styring af mål for minimering af personoplysninger?

ISMS.online hjælper dig med at gå fra ad hoc-minimering til en struktureret, reviderbar strategi:

  • Ramme for målsætning — Definer minimeringsmål på organisations- og procesaktivitetsniveau og opret en lagdelt strategi, som revisorer kan følge
  • Mekanismekortlægning — Forbind hver PII-kategori med den tildelte minimeringsteknik (pseudonymisering, aggregering, sletning) med dokumentation af begrundelsen
  • Teknikbibliotek — Få adgang til et referencebibliotek med minimeringsteknikker, der kan hjælpe dig med at vælge den mest passende mekanisme til hvert enkelt anvendelsestilfælde
  • Gennemgå arbejdsgange — Planlæg periodiske gennemgange af minimeringsmål med automatiserede påmindelser og strukturerede gennemgangsskabeloner
  • Krydskontrol-synlighed — Se, hvordan dine minimeringsmål forbindes med indsamlingsgrænser, behandlingsgrænser, anonymisering, opbevaring og bortskaffelse i en samlet visning
  • Fremskridtssporing — Overvåg implementeringen af ​​minimeringsmekanismer med statusdashboards og opgavetildelinger

Ofte Stillede Spørgsmål

Hvad er forskellen mellem afidentifikation og pseudonymisering?

Afidentifikation er den bredere betegnelse for at fjerne eller tilsløre identificerende oplysninger, så PII-principper ikke kan identificeres. Pseudonymisering er en specifik type afidentifikation, hvor direkte identifikatorer erstattes med kunstige identifikatorer (pseudonymer), men dataene kan stadig linkes til personen igen ved hjælp af en separat nøgle. Pseudonymiserede data forbliver PII i henhold til de fleste regler, fordi genidentifikation er mulig. Fuldt afidentificerede data, der ikke kan genidentificeres, kan falde uden for anvendelsesområdet for privatlivsreglerne, afhængigt af jurisdiktionen.

Skal minimeringsmål være målbare?

Standarden kræver, at mål defineres og dokumenteres, men pålægger ikke kvantitative mål. Målbare mål (såsom "reducere antallet af indsamlede PII-felter med 20 % inden for 12 måneder" eller "pseudonymisere alle analysedata inden for 30 dage efter indsamling") er dog mere nyttige til at spore fremskridt og demonstrere engagement over for revisorer. Hvor det er muligt, sæt mål, der kan verificeres.

Hvordan hænger denne kontrol sammen med databeskyttelse gennem design?

A.1.4.5 er en central del af databeskyttelse gennem design. Ved at definere minimeringsmål på forhånd og vælge mekanismer, før behandlingen påbegyndes, integrerer organisationen privatlivets fred i designet af sine behandlingsaktiviteter i stedet for at eftermontere det. Denne proaktive tilgang er præcis, hvad GDPR Artikel 25 (databeskyttelse gennem design og som standard) kræver.

Se vores vejledning om krav til revisionsbeviser for den specifikke dokumentation, som revisorer forventer i forbindelse med datakvalitets- og minimeringskontroller.

Registrer denne kontrol i din Anvendelseserklæring med din begrundelse for dens anvendelighed.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.