Hvad kræver kontrol A.1.5.3?
Organisationen skal specificere og dokumentere de lande og internationale organisationer, hvortil PII muligvis kan overføres.
Denne kontrol ligger inden for PII-overførsel målsætning (A.1.5) i PII-controllerkontroller. Hvor A.1.5.2 Grundlag for overførsel af personoplysninger omhandler den juridiske mekanisme, A.1.5.3 fokuserer på at dokumentere præcis, hvor personoplysninger kan ende.
Vores vejledning til grænseoverskridende dataoverførsler giver komplette retningslinjer for implementering af overførselsbeskyttelse i henhold til ISO 27701:2025.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.5.3) indeholder følgende vejledning:
- Vedligehold et register over alle lande og internationale organisationer, hvortil PII kan overføres
- Overvej tilstrækkelighedsstatus for hver destinationsjurisdiktion, når du skal afgøre, om overførsler er tilladte
- Gør oplysninger om overførselsdestinationer tilgængelige for personoplysninger, enten direkte eller gennem offentliggjort privatlivsdokumentation
- Hold registret opdateret, når nye overførselsdestinationer tilføjes, eller eksisterende fjernes
Den praktiske effekt er, at organisationer ikke kan behandle internationale overførsler som en sort boks. Enhver potentiel destination skal være synlig, vurderet og dokumenteret, før nogen PII flyder dertil.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.5.3 knytter sig til to nøgler GDPR bestemmelser:
- Artikel 15 (2) — Den registrerede har ret til at blive informeret om, hvilke lande deres personoplysninger overføres til, og hvilke passende sikkerhedsforanstaltninger der er truffet
- Artikel 30, stk. 1, litra e) — Registreringer af behandlingsaktiviteter skal omfatte overførsler til tredjelande eller internationale organisationer sammen med dokumentation for passende sikkerhedsforanstaltninger
Under GDPRskal disse oplysninger være let tilgængelige for både registrerede og tilsynsmyndigheder efter anmodning.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter ISO 29100 princippet om AnsvarlighedVed at føre et dokumenteret register over overførselsdestinationer viser organisationen, at den ved, hvor personoplysningerne går hen, og at den har taget bevidste skridt til at vurdere og godkende hver destination.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.5.3 vil revisorer typisk se efter:
- Landeregister — En dokumenteret, opdateret liste over alle lande og internationale organisationer, hvortil personoplysninger kan overføres
- Tilstrækkelighedsvurderinger — Dokumentation for, at hver destinations tilstrækkelighedsstatus er blevet overvejet og registreret
- Privatlivsmeddelelser — Offentliggjort dokumentation for beskyttelse af personlige oplysninger, der informerer PII-ansvarlige om de lande, hvor deres data kan blive behandlet
- Ændringsregistreringer — Dokumentation for, at registeret opdateres, når nye destinationer tilføjes, for eksempel når en ny cloududbyder eller underdatabehandler engageres
- Tilpasning med overførselsregistreringer — At faktiske overførsler (registreret under A.1.5.4 Optegnelser over PII-overførsel) kun gå til dokumenterede destinationer
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.5.2 Identificér grundlaget for overførsel af personoplysninger | Det juridiske grundlag bestemmer, hvilke lande der er tilladte destinationer |
| A.1.5.4 Optegnelser over overførsel af personoplysninger | Faktiske overførselsregistreringer skal stemme overens med den godkendte destinationsliste |
| A.1.5.5 Registrering af oplysninger om personoplysninger | Videregivelser til tredjeparter i andre jurisdiktioner skal dokumenteres |
| A.1.3.3 Information til PII-principaler Bestemmelse af oplysninger for PII-principper | Transferdestinationer er en del af de oplysninger, der skal gives til enkeltpersoner |
| A.1.2.9 Registrering af behandling af personoplysninger | Destinationsregisteret indgår i de samlede behandlingsregistre |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket under klausul 7.5.2 (lande og internationale organisationer, hvortil PII kan overføres). Indholdet er uændret, men omstruktureringen i 2025 giver en klarere forbindelse mellem kontrolerklæringen (A.1.5.3) og implementeringsvejledningen (B.1.5.3). Vægten på at gøre destinationsoplysninger tilgængelige for PII-opdragsgivere er fortsat et centralt krav. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til sporing af PII-overførselsdestinationer?
ISMS.online giver dig værktøjerne til at opretholde en klar, reviderbar registrering af, hvor PII går hen:
- Overfør destinationsregister — Vedligehold en centraliseret liste over godkendte lande og organisationer med tilstrækkelighedsstatus og revisionsdatoer
- Sporing af underdatabehandlere — Forbind hver tredjepartsdatabehandler med de lande, hvor de opererer, med automatisk markering, når en ny destination introduceres
- Integration af privatlivsmeddelelse — Hold dokumentation for beskyttelse af personlige oplysninger i overensstemmelse med den godkendte destinationsliste via sammenkædede poster
- Gennemgå arbejdsgange — Indstil planlagte gennemgange for hver destination, og modtag advarsler, når tilstrækkelighedsafgørelser eller juridiske rammer ændres
- Revisionsbeviser — Eksporter det fulde destinationsregister med ændringshistorik til certificeringsrevisioner og lovgivningsmæssige forespørgsler
Ofte Stillede Spørgsmål
Skal vi liste alle de lande, hvor en cloududbyder opererer?
Ja, hvis PII kunne gemmes eller tilgås fra disse placeringer. Cloud-udbydere behandler ofte data på tværs af flere regioner og kan have supportpersonale i andre lande end dem, hvor dataene hostes. Du bør samarbejde med dine udbydere for at få en endelig liste over alle lande, hvor PII kan behandles, gemmes eller tilgås, og inkludere hvert enkelt land i dit register.
Hvad hvis listen over lande ændres ofte?
Registeret bør være et levende dokument. Opbyg en proces til at opdatere det, når en ny overførselsdestination foreslås, for eksempel gennem indkøb eller onboarding-workflows for leverandører. Hver ændring bør vurderes i forhold til det overførselsgrundlag, der er dokumenteret under A.1.5.2 Grundlag for overførsel af personoplysninger, og privatlivsmeddelelser bør opdateres for at afspejle den nuværende situation.
Gælder dette for overførsler inden for EU/EØS?
I henhold til GDPR betragtes overførsler inden for EU/EØS ikke som internationale overførsler og kræver ikke en specifik overførselsmekanisme. ISO 27701 har dog en bredere, jurisdiktionneutral tilgang. God praksis er at dokumentere alle lande, hvor personoplysninger behandles, selv inden for EØS, da andre gældende love (f.eks. national implementeringslovgivning) kan have yderligere krav.
Se vores vejledning om krav til revisionsbeviser for den specifikke overførselsdokumentation, som revisorer forventer.
