Hvad kræver kontrol A.1.4.9?
Organisationen skal have dokumenterede politikker, procedurer eller mekanismer til bortskaffelse af personoplysninger.
Denne kontrol ligger inden for Minimering af personligt identificerbare oplysninger mål (A.1.4) og sikrer, at når PII når slutningen af sin livscyklus, uanset om det er gennem udløbet af opbevaringsperiode (A.1.4.8), opfyldelse af behandlingsformålet eller en anmodning fra den personoplysningers hovedansvarlige, destrueres dataene på en måde, der forhindrer gendannelse.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.4.9) indeholder følgende vejledning:
- Sørg for, at personoplysninger ikke kan gendannes — Bortskaffelsesmetoder bør garantere, at PII ikke kan hentes, rekonstrueres eller gendannes efter bortskaffelse. Simpel sletning (fjerning af en fil fra en mappe) er typisk ikke tilstrækkelig, da dataene kan forblive på lagringsmediet.
- Vælg passende bortskaffelsesmetoder — Metoderne bør tilpasses lagringsmediet og omfatte: sikker sletning (overskrivning), fysisk destruktion af medier (makulering, degaussing, forbrænding) og kryptografisk sletning (ødelæggelse af krypteringsnøglerne til krypterede data)
- Dokumentprocedurer pr. medietype — Bortskaffelsesmetoden bør dokumenteres for hver type lagringsmedie, som organisationen bruger (harddiske, SSD'er, USB-enheder, papiroptegnelser, cloudlagring, backupbånd)
- Vedligehold bortskaffelsesregistre — Opbevar fortegnelser over, hvad der blev bortskaffet, hvornår, af hvem og med hvilken metode. Disse fortegnelser fungerer som revisionsbevis og ansvarlighedsdokumentation
- Se også A.1.4.2: Begræns indsamling for relaterede krav
- Se også A.1.4.3: Begræns behandling for relaterede krav
Hovedprincippet er, at bortskaffelse skal kunne verificeres. En revisor skal kunne spore personoplysninger fra opbevaringsplanen til en bortskaffelsesregistrering, der bekræfter, at de blev destrueret på en sikker måde.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.4.9 knytter sig til GDPR Artikel 5(1)(f), princippet om integritet og fortrolighed, som kræver, at personoplysninger behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse. Sikker bortskaffelse understøtter direkte dette ved at sikre, at personoplysninger ikke utilsigtet eksponeres gennem utilstrækkelige destruktionsmetoder.
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter ISO 29100 princippet om Begrænsning af brug, opbevaring og videregivelse, specifikt kravet om, at personoplysninger skal destrueres sikkert, når de ikke længere er nødvendige. Uden sikker bortskaffelse er kontrollen med opbevaringsbegrænsninger ufuldstændig, fordi dataene fortsat eksisterer, selv efter at opbevaringsperioden teoretisk set er udløbet.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.4.9 vil revisorer typisk se efter:
- Bortskaffelsespolitik — En dokumenteret politik, der dækker organisationens tilgang til bortskaffelse af personoplysninger, herunder ansvarsområder, godkendte metoder og verifikationskrav
- Mediumspecifikke procedurer — Dokumenterede bortskaffelsesprocedurer for hver type lagringsmedie: elektronisk (HDD, SSD, cloud), flytbart (USB, backupbånd) og fysisk (papir, trykte dokumenter)
- Bortskaffelsesregistre — Et register eller en log over bortskaffelsesaktiviteter, der viser, hvad der blev bortskaffet, hvornår, af hvem og med hvilken metode
- Aftaler om bortskaffelse af tredjeparter — Hvor bortskaffelse er outsourcet (f.eks. til et makuleringsfirma eller et IT-affaldshåndteringsfirma), kontrakter, der specificerer standarder for sikker bortskaffelse og destruktionscertifikater
- Bekræftelsesbevis — Optegnelser, der bekræfter, at bortskaffelsen var effektiv, såsom destruktionsattester, overskrivningsverifikationsrapporter eller bekræftelse fra cloududbydere
- uddannelse af personalet — Dokumentation for, at personale involveret i bortskaffelse forstår procedurerne og vigtigheden af sikker destruktion
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.4.8 Tilbageholdelse | Opbevaringsplaner definerer, hvornår bortskaffelse skal udløses |
| A.1.4.6 Afidentifikation og sletning | Sletning er én form for bortskaffelse; afidentifikation er alternativet |
| A.1.4.7 Midlertidige filer | Midlertidige filer skal bortskaffes inden for deres definerede korte opbevaringsperioder |
| A.1.4.5 Mål for minimering af personoplysninger | Bortskaffelse er den sidste mekanisme i minimeringslivscyklussen |
| A.1.4.10 PII-transmissionskontroller | Personoplysninger, der sendes til tredjeparter, skal muligvis også bortskaffes hos modtageren |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev bortskaffelse behandlet under punkt 7.4.8 (bortskaffelse). 2025-kontrollen bevarer det samme kernekrav om dokumenterede bortskaffelsespolitikker, -procedurer eller -mekanismer. Implementeringsvejledningen lægger nu mere vægt på behovet for mediespecifikke procedurer og vigtigheden af at føre bortskaffelsesregistre. Kryptografisk sletning nævnes også mere fremtrædende som en bortskaffelsesteknik. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af bortskaffelse af personoplysninger?
ISMS.online hjælper dig med at lukke datalivscyklusløkken med dokumenterede, verificerbare bortskaffelsesprocesser:
- Bibliotek over bortskaffelsesprocedurer — Vedligehold dokumenterede bortskaffelsesprocedurer for hver lagringsmedietype med versionskontrol og godkendelsesworkflows
- Bortskaffelseslog — Registrer alle bortskaffelseshandlinger med, hvad der blev destrueret, den anvendte metode, hvem der udførte det, og hvornår, og opret det revisionsspor, som revisorerne kræver
- Tredjepartsadministration — Spor leverandører af bortskaffelsestjenester, deres kontrakter, destruktionscertifikater og overholdelse af jeres bortskaffelsesstandarder
- Integration af fastholdelse — Udløs automatisk bortskaffelsesopgaver, når opbevaringsperioder udløber, og knytter din opbevaringsplan til bortskaffelsesprocessen
- Sammenkobling af aktivregister — Forbind bortskaffelsesregistre med dit IT-aktivregister og dataopgørelse, så du kan spore personoplysninger fra indsamling til certificeret destruktion
Ofte Stillede Spørgsmål
Er sletning af en fil tilstrækkelig bortskaffelse under denne kontrol?
Generelt nej. Standard filsletning (flytning til en papirkurv eller fjernelse af mappeposten) fjerner ikke dataene fra lagringsmediet. Dataene kan stadig gendannes ved hjælp af retsmedicinske værktøjer, indtil de overskrives. Sikker bortskaffelse kræver overskrivning (for harddiske), brug af producentens sikre sletningskommandoer (for SSD'er), fysisk destruktion eller kryptografisk sletning. Metoden bør stå i forhold til følsomheden af de personoplysninger og risikoen for gendannelse.
Hvordan skal bortskaffelse af cloud-lagrede personoplysninger håndteres?
For cloudlagring er fysisk destruktion af medier typisk ikke en mulighed. I stedet bør organisationen: bruge cloududbyderens sikre sletnings-API'er; verificere gennem udbyderens vilkår eller certificeringer, at slettede data ikke kan gendannes; overveje kryptografisk sletning (kryptering af data med en unik nøgle og derefter sikker destruktion af nøglen); og indhente bekræftelse fra udbyderen på, at data er blevet fjernet fra alle replikaer og sikkerhedskopier. Bortskaffelsesproceduren bør dokumenteres i din cloud-databehandlingsaftale.
Skal bortskaffelsesregistre i sig selv opbevares?
Ja. Bortskaffelsesregistre fungerer som dit bevis på, at personoplysninger er blevet destrueret sikkert. De skal opbevares i en periode, der er tilstrækkelig til at påvise overholdelse af reglerne under revisioner og til at besvare eventuelle spørgsmål fra personoplysningers hovedansvarlige eller tilsynsmyndigheder om, hvad der er sket med deres data. Bortskaffelsesregistre bør ikke indeholde selve personoplysningerne, kun metadata om bortskaffelsen (hvilken kategori, hvornår, hvordan, af hvem). En typisk opbevaringsperiode for bortskaffelsesregistre er afstemt med din revisionscyklus plus enhver gældende forældelsesfrist.
Se vores vejledning om krav til revisionsbeviser for den specifikke dokumentation, som revisorer forventer i forbindelse med datakvalitets- og minimeringskontroller.
Registrer denne kontrol i din Anvendelseserklæring med din begrundelse for dens anvendelighed.
