Hvad kræver kontrol A.1.4.6?
Organisationen skal enten slette personoplysninger eller gengive dem i en form, der ikke tillader identifikation eller genidentifikation af hovedpersonerne i personoplysningerne, så snart de oprindelige personoplysninger ikke længere er nødvendige til det/de identificerede formål.
Denne kontrol ligger inden for Minimering af personligt identificerbare oplysninger mål (A.1.4) og repræsenterer forpligtelsen ved udløbet af livscyklussen. Når formålet med indsamling og behandling af personoplysninger er opfyldt, og der ikke findes noget lovpligtigt opbevaringskrav, bør dataene ikke bevares i identificerbar form. Denne kontrol fungerer sammen med A.1.4.8 (tilbageholdelse) og A.1.4.9 (bortskaffelse) for at sikre, at PII ikke overlever sit formål.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.4.6) indeholder følgende vejledning:
- Definer udløsere for handling — Identificer de hændelser, der skal udløse afidentifikation eller sletning, herunder: formål opfyldt, samtykke trukket tilbage, opbevaringsperiode udløbet eller anmodning om PII-primær
- Sikre robust afidentifikation — Hvor afidentifikation vælges frem for sletning, skal de anvendte metoder være modstandsdygtige over for genidentifikation. Simpel fjernelse af navne er muligvis ikke tilstrækkeligt, hvis andre datapunkter tillader identifikation gennem kombination
- Dokumentér processen — Procedurerne for afidentifikation og sletning bør dokumenteres, herunder de anvendte metoder, de anvendte udløsere og verifikationstrinnene
- Bekræft effektivitet — Efter afidentifikation eller sletning skal organisationen verificere, at handlingen var effektiv, og at personoplysninger ikke kan gendannes eller genidentificeres
- Reference ISO/IEC 20889 — Vejledningen henviser specifikt til ISO/IEC 20889 (Privacy enhancing data de-identification techniques) som en kilde til de-identifikationsmetoder.
- Se også A.1.4.3: Begræns behandling for relaterede krav
- Se også A.1.4.4: Nøjagtighed og kvalitet for relaterede krav
De to muligheder (sletning eller afidentifikation) giver organisationer fleksibilitet. Hvor de underliggende data har analytisk værdi, men personerne ikke længere behøver at kunne identificeres, tillader afidentifikation fortsat brug. Hvor der ikke længere er nogen brug, er sletning den renere tilgang.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.4.6 knytter sig til flere GDPR bestemmelser:
- Artikel 5, stk. 1, litra c) — Princippet om dataminimering
- Artikel 5, stk. 1, litra e) — Lagringsbegrænsning: Data bør kun opbevares i identificerbar form, så længe det er nødvendigt.
- Artikel 6, stk. 4, litra e) — Overvejer eksistensen af passende sikkerhedsforanstaltninger, som kan omfatte kryptering eller pseudonymisering, ved vurdering af kompatibiliteten af yderligere behandling
- Artikel 11 (1) — Hvor formålene ikke længere kræver identifikation, er den dataansvarlige ikke forpligtet til at opbevare identificerende data
- Artikel 32 (1) (a) — Pseudonymisering og kryptering som passende tekniske foranstaltninger
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter to ISO 29100 principper:
- Minimering af data — Afidentifikation reducerer PII til den minimalt nødvendige identificerbare form
- Begrænsning af brug, opbevaring og videregivelse — Sletning eller afidentifikation ved afslutning af behandlingen håndhæver direkte opbevaringsgrænser
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.4.6 vil revisorer typisk se efter:
- Procedurer for afidentifikation og sletning — Dokumenterede procedurer, der specificerer de anvendte metoder, hvem der er ansvarlig, og hvordan effektiviteten verificeres
- Definitioner af triggere — Tydelig dokumentation af, hvilke hændelser der udløser anonymisering eller sletning for hver kategori af personoplysninger
- Udførelsesregistreringer — Logfiler eller optegnelser, der viser, at anonymiserings- og sletningsaktiviteter er blevet udført som planlagt
- Effektivitetstestning — Bevis for, at afidentifikation er blevet testet for genidentifikationsresistens, især for datasæt med højere risiko
- Dokumentation af teknisk metode — Beskrivelse af de specifikke anvendte anonymiseringsteknikker (k-anonymitet, differentiel privatlivsbeskyttelse, tokenisering osv.) og hvorfor de blev valgt
- Undtagelse håndtering — Dokumentation af eventuelle tilfælde, hvor personoplysninger er blevet opbevaret ud over det oprindelige formål, med begrundelse (f.eks. juridisk opbevaring, lovgivningsmæssigt opbevaringskrav)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.4.5 Mål for minimering af personoplysninger | Afidentifikation er en central mekanisme inden for minimeringsstrategien |
| A.1.4.8 Tilbageholdelse | Opbevaringsperioder definerer, hvornår afidentifikation eller sletning skal udløses |
| A.1.4.9 Bortskaffelse | Bortskaffelsesprocedurer supplerer sletningsprocedurer for fysiske medier |
| A.1.4.7 Midlertidige filer | Midlertidige filer, der indeholder personoplysninger, skal også kunne slettes |
| A.1.4.2 Begrænsning af indsamling | Mindre indsamling betyder færre data, der kræver behandling ved levetidens afslutning |
| A.1.2.2 Identificér og dokumenter formål | Formålsdokumentation definerer, hvornår PII "ikke længere er nødvendig" |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev afidentifikation og sletning behandlet under klausul 7.4.5 (afidentifikation og sletning af PII ved afslutningen af behandlingen). Kontrollen fra 2025 er i det væsentlige den samme med de samme to muligheder (slet eller afidentificer). Implementeringsvejledningen indeholder nu en mere eksplicit henvisning til ISO/IEC 20889 for afidentifikationsteknikker og lægger større vægt på at verificere effektiviteten af afidentifikation. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af anonymisering og sletning af personoplysninger?
ISMS.online giver værktøjerne til at håndtere de forpligtelser ved levetidens udløb, som revisorer undersøger nøje:
- Håndtering af retentionsudløser — Definer udløsere for anonymisering og sletning knyttet til behandlingsformål, med automatiske advarsler, når udløsere nås
- Bortskaffelses- og anonymiseringslogge — Registrer alle afidentifikations- og sletningshandlinger med tidsstempler, anvendte metoder og verifikationsresultater
- Teknikdokumentation — Dokumentér de anvendte afidentifikationsmetoder for hver datakategori med begrundelse for teknikvalget
- Undtagelsessporing — Registrer og begrund alle tilfælde, hvor personoplysninger opbevares ud over det oprindelige formål, og sørg for, at juridiske tilbageholdelser og lovgivningsmæssige krav er korrekt dokumenteret.
- Overholdelsesrapportering — Generer rapporter ved afslutningen af livscyklussen, der viser, at forpligtelserne til afidentifikation og sletning er opfyldt på tværs af alle kategorier af personoplysninger
Ofte Stillede Spørgsmål
Hvornår bør du vælge afidentifikation frem for sletning?
Afidentifikation er passende, når de underliggende data har værdi til sekundære formål (såsom statistisk analyse, forskning eller trendrapportering), men personerne ikke længere behøver at kunne identificeres. Sletning er passende, når der ikke længere er nogen anvendelse af dataene. Valget bør dokumenteres, og afidentifikationsmetoden skal være robust nok til at forhindre genidentifikation, især i betragtning af dataenes følsomhed.
Hvordan verificerer man, at afidentifikation er effektiv?
Verifikation involverer test af, om det anonymiserede datasæt kan genforbindes til individer ved hjælp af selve dataene eller i kombination med andre tilgængelige datakilder. Teknikker omfatter motiveret ubudenhedstest, k-anonymitetsvurdering og gennemgang af, om kvasi-identifikatorer (såsom fødselsdato kombineret med postnummer) kan muliggøre genidentifikation. ISO/IEC 20889 giver detaljeret vejledning om anonymiseringsteknikker og deres evaluering.
Hvad med personoplysninger i sikkerhedskopier, efter at de oprindelige data er slettet?
Personoplysninger i sikkerhedskopier forbliver inden for anvendelsesområdet. Organisationer bør have en strategi til håndtering af personoplysninger i sikkerhedskopier, som kan omfatte: kryptering af sikkerhedskopier, så slettede data ikke kan tilgås, selvom de bevares; anvendelse af opbevaringspolitikker på sikkerhedskopieringscyklusser, så gamle sikkerhedskopier overskrives; eller accept og dokumentation af den resterende risiko for personoplysninger i sikkerhedskopier med passende adgangskontroller. Den valgte tilgang bør dokumenteres og forsvares.
Se vores vejledning om krav til revisionsbeviser for den specifikke dokumentation, som revisorer forventer i forbindelse med datakvalitets- og minimeringskontroller.
Registrer denne kontrol i din Anvendelseserklæring med din begrundelse for dens anvendelighed.
