Hvad kræver kontrol A.1.4.8?
Organisationen må ikke opbevare personoplysninger i længere tid end nødvendigt til de formål, hvortil de personoplysninger behandles.
Denne kontrol ligger inden for Minimering af personligt identificerbare oplysninger mål (A.1.4) og omhandler tidsdimensionen ved dataminimering. Mens A.1.4.2 Grænseindsamling begrænser, hvad du indsamler, og A.1.4.3 Begræns behandling begrænser, hvad du gør med det, A.1.4.8 begrænser, hvor længe du opbevarer det. Sammen danner disse kontroller en komplet minimeringsramme.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.4.8) indeholder følgende vejledning:
- Definer opbevaringsperioder — For hver kategori af personoplysninger skal du definere opbevaringsperioder baseret på behandlingsformålet og eventuelle gældende lovkrav (såsom opbevaring af skatteoplysninger, ansættelsesret eller sektorspecifikke bestemmelser)
- Implementer opbevaringsplaner — Opret og vedligehold formelle opbevaringsplaner, der specificerer opbevaringsperioden, udløsende begivenhed (f.eks. kontraktens ophør, tjenestens ophør) og den handling, der skal træffes ved udløb (sletning eller anonymisering)
- Gennemgå gemte personoplysninger regelmæssigt — Gennemgå regelmæssigt lagrede personoplysninger i forhold til opbevaringsplaner for at identificere data, der burde have været bortskaffet, eller som nærmer sig opbevaringsgrænsen.
- Meddel opbevaringsperioder — Informere PII-ledere om opbevaringsperioderne for deres data, typisk gennem privatlivsmeddelelser, der understøtter gennemsigtighedskravene for A.1.3.3 Information til PII-principaler
Retention management er ikke en engangsøvelse. Det kræver løbende styring for at sikre, at tidsplaner følges, undtagelser begrundes, og at nye kategorier af personoplysninger inkluderes i omfanget, efterhånden som behandlingsaktiviteterne udvikler sig.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.4.8 knyttes til følgende GDPR bestemmelser om gennemsigtighed:
- Artikel 13 (2) (a) — Kræver, at den dataansvarlige informerer de registrerede om den periode, hvori personoplysningerne vil blive opbevaret, eller de kriterier, der anvendes til at fastsætte denne periode, på indsamlingstidspunktet
- Artikel 14 (2) (a) — Samme krav gælder for data indhentet indirekte (ikke fra den registrerede)
GDPR Princippet om begrænsning af lagring i artikel 5(1)(e) er den primære kortlægning for denne kontrol, hvor bestemmelserne om gennemsigtighed understøtter kravet om at meddele opbevaringsperioder til enkeltpersoner.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter direkte ISO 29100 princippet om Begrænsning af brug, opbevaring og videregivelse, som kræver, at PII kun opbevares så længe som nødvendigt for at opfylde de angivne formål. Princippet kræver også, at opbevaringsperioder defineres ud fra det gældende formål og meddeles til PII-opdragsgivere.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.4.8 vil revisorer typisk se efter:
- Opbevaringsplan — Et formelt dokument, der angiver hver kategori af personoplysninger, dens definerede opbevaringsperiode, den udløsende begivenhed, det juridiske grundlag for perioden (hvis relevant) og bortskaffelseshandlingen
- Gennemgå optegnelser — Dokumentation for periodiske gennemgange af lagrede personoplysninger i forhold til opbevaringsplanen med dokumenterede resultater og eventuelle korrigerende handlinger
- Bevis for bortskaffelse — Optegnelser, der viser, at personoplysninger er blevet bortskaffet, når opbevaringsperioden udløb, med links til A.1.4.9 bortskaffelse procedurer
- Undtagelsesregister — Dokumentation af eventuelle personoplysninger, der opbevares ud over den planlagte periode, med begrundelse (f.eks. juridisk tilbageholdelse, igangværende tvist, lovgivningsmæssig undersøgelse)
- Indhold af privatlivsmeddelelsen — Dokumentation for, at opbevaringsperioder eller -kriterier er meddelt til personoplysninger via privatlivsmeddelelser
- Systemkonfigurationer — Tekniske indstillinger, der håndhæver eller understøtter opbevaringsperioder (automatisk arkivering, automatisk sletning, udløbsflag)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.4.6 Afidentifikation og sletning | Definerer, hvad der sker med personoplysninger, når opbevaringsperioden udløber |
| A.1.4.9 Bortskaffelse | Indeholder sikre bortskaffelsesmetoder, der anvendes ved ophør af opbevaring |
| A.1.4.7 Midlertidige filer | Midlertidige filer har deres egne krav til kort opbevaring |
| A.1.4.5 Mål for minimering af personoplysninger | Retentionsplaner implementerer tidsdimensionen af minimeringsmål |
| A.1.2.2 Identificér og dokumenter formål | Opbevaringsperioder er afledt af dokumenterede behandlingsformål |
| A.1.3.3 Bestemmelse af oplysninger for PII-principper | Opbevaringsperioder skal meddeles enkeltpersoner |
Hvad har ændret sig fra ISO 27701:2019?
I 2019-udgaven blev fastholdelse behandlet under punkt 7.4.7 (fastholdelse). 2025-kontrollen har det samme kernekrav. Den omstrukturerede Bilag A/B-formatet adskiller kontrolerklæringen fra implementeringsvejledningen tydeligere. Vejledningen lægger nu større vægt på at kommunikere opbevaringsperioder til PII-principaler, hvilket forstærker forbindelsen mellem opbevaringsstyring og gennemsigtighedsforpligtelser. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til håndtering af PII-opbevaring?
ISMS.online gør fastholdelsesstyring praktisk, konsekvent og revisionsklar:
- Tidsplanbygger til opbevaring — Opret formelle opbevaringsplaner med kategorier, perioder, udløsende hændelser, juridiske grundlag og bortskaffelseshandlinger, alt sammen i et struktureret, søgbart format
- Automatiske udløbsadvarsler — Modtag notifikationer, når PII nærmer sig eller når sin opbevaringsgrænse, hvilket reducerer risikoen for overopbevaring
- Gennemgå cyklusstyring — Planlæg periodiske evalueringer af fastholdelse med opgavetildelinger, registrering af færdiggørelse og dokumenterede resultater
- Undtagelsesstyring — Dokumentér og spor opbevaringsundtagelser (juridiske tilbageholdelser, lovgivningsmæssige krav) med godkendelsesworkflows og tidsbegrænsede forlængelser
- Integration af privatlivsmeddelelse — Knyt opbevaringsperioder til dine privatlivsmeddelelser, så ændringer i opbevaringsplaner kan afspejles i kommunikation til personoplysninger
- Bortskaffelseskæde — Forbind opbevaringsplaner med bortskaffelsesprocedurer under A.1.4.9 Bortskaffelse, skaber et end-to-end livscyklusspor
Ofte Stillede Spørgsmål
Hvordan bestemmer man den rette opbevaringsperiode for hver kategori af personoplysninger?
Start med behandlingsformålet: Hvor længe er de personoplysninger reelt nødvendige for at opfylde dette formål? Undersøg derefter, om der er juridiske eller lovgivningsmæssige opbevaringskrav, der kan kræve en minimumsperiode (f.eks. skatteoptegnelser, ansættelsesregistre, økonomiske optegnelser). Opbevaringsperioden bør være den længste af den formålsbaserede periode og det lovbestemte minimum, men ikke længere end det. Hvor der ikke findes noget lovkrav, bør alene den formålsbaserede periode gælde. Dokumenter begrundelsen for hver opbevaringsperiode.
Hvad udløser starten på en opbevaringsperiode?
Udløseren afhænger af behandlingskonteksten. Almindelige udløsere omfatter: afslutning af kundeforholdet, afslutning af en transaktion, udløb af en kontrakt, opsigelse af ansættelse, sidste interaktion med personen eller datoen for indsamling af personoplysninger. Udløseren bør være klart defineret i opbevaringsplanen, så udløbsdatoen kan beregnes uden tvetydighed.
Kan opbevaringsperioder variere for den samme personoplysninger, der bruges til forskellige formål?
Ja. Det samme felt til personoplysninger kan have forskellige opbevaringsperioder afhængigt af formålet. For eksempel kan en kundes e-mailadresse opbevares i 12 måneder efter afslutningen af kundeforholdet til opfølgning på tjenester, men i 6 år til formål med økonomisk registrering. Den længste gældende periode bestemmer, hvornår de personoplysninger kan slettes, men behandlingen til hvert formål bør ophøre, når opbevaringsperioden for det pågældende formål udløber.
Se vores vejledning om krav til revisionsbeviser for den specifikke dokumentation, som revisorer forventer i forbindelse med datakvalitets- og minimeringskontroller.
Registrer denne kontrol i din Anvendelseserklæring med din begrundelse for dens anvendelighed.
