Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.5.4: Registrering af overførsel af personoplysninger

Kontrol A.1.5.4 kræver, at organisationer registrerer overførsler af PII til eller fra tredjeparter og sikrer samarbejde med disse parter for at understøtte fremtidige anmodninger relateret til forpligtelser over for PII-hovedpersoner. Grundige overførselsregistre er afgørende for at demonstrere ansvarlighed.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.5.4?

Organisationen skal registrere overførsler af personoplysninger til eller fra tredjeparter og sikre samarbejde med disse parter for at understøtte fremtidige anmodninger vedrørende forpligtelser over for de personoplysninger, der er ansvarlige for dem.

Denne kontrol ligger inden for PII-overførsel målsætning (A.1.5) i PII-controllerkontroller. Mens A.1.5.2 Grundlag for overførsel af personoplysninger identificerer det juridiske grundlag og A.1.5.3 Lande til overførsel af personoplysninger dokumenterer destinationerne, A.1.5.4 opretter den operationelle registrering af, hvad der rent faktisk bevægede sig.

Vores vejledning til grænseoverskridende dataoverførsler giver komplette retningslinjer for implementering af overførselsbeskyttelse i henhold til ISO 27701:2025.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.5.4) indeholder følgende vejledning om, hvad overførselsregistreringer skal indeholde:

  • Hvilke personoplysninger blev overført — Kategorierne og mængden af ​​personoplysninger, der er inkluderet i hver overførsel
  • Til hvem — Modtagerens identitet, herunder dennes rolle (dataansvarlig, databehandler, underdatabehandler)
  • Når — Dato og, hvor det er relevant, tidspunkt for overførslen
  • Lovgrundlag — Det dokumenterede grundlag for overførslen
  • Samarbejdsbestemmelser — Ordninger, der sikrer, at den modtagende part kan samarbejde om anmodninger om primære personoplysninger, såsom adgang, berigtigelse eller sletning

Optegnelser bør opbevares i den opbevaringsperiode, der er defineret i organisationens politik for dataopbevaring. Vejledningen understreger, at samarbejdsbestemmelser ikke er valgfrie ekstrafunktioner; de er en integreret del af opfyldelsen af ​​løbende forpligtelser over for personoplysninger, hvis data er blevet overført.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.5.4 knytter sig til GDPR Artikel 30(1)(e), som kræver, at registre over behandlingsaktiviteter skal indeholde oplysninger om overførsler til tredjelande eller internationale organisationer, herunder identifikation af modtageren og, hvor det er relevant, dokumentation for passende sikkerhedsforanstaltninger.

Samarbejdselementet stemmer overens med det bredere GDPR krav om, at dataansvarlige skal fremme udøvelsen af ​​de registreredes rettigheder (artikel 12-22), selv når personoplysninger er blevet delt med tredjeparter.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter ISO 29100 princippet om AnsvarlighedVed at føre detaljerede overførselsregistre viser organisationen, at de kan redegøre for, hvor personoplysninger er blevet af, og kan spore dem gennem behandlingskæden, når der opstår spørgsmål.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.5.4 vil revisorer typisk se efter:

  • Overførselslog — En kronologisk oversigt over PII-overførsler, der viser, hvad der blev overført, til hvem, hvornår og under hvilket retsgrundlag
  • Samarbejdsaftaler — Kontraktbestemmelser eller dokumenterede aftaler, der kræver, at modtagende parter samarbejder om anmodninger om personoplysninger
  • Databehandleraftaler — Udførte aftaler med tredjeparter, der indeholder samarbejdsklausuler vedrørende den registreredes rettigheder
  • Dokumentation for samarbejde i praksis — Dokumentation, der viser, at samarbejdet er blevet testet, for eksempel når en personoplysningspligtig udøvede sine rettigheder, og den modtagende part bistod
  • Overholdelse af regler for opbevaring — Dokumentation for, at overførselsregistre opbevares i den definerede opbevaringsperiode

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.5.2 Identificér grundlaget for overførsel af personoplysninger Det juridiske grundlag, der er dokumenteret i A.1.5.2 Grundlag for overførsel af personoplysninger registreres mod hver overførsel
A.1.5.3 Lande til overførsel af personoplysninger Overførsler bør kun gå til dokumenterede og godkendte destinationer
A.1.5.5 Registrering af oplysninger om personoplysninger Oplysningsregistre supplerer overførselsregistre og dækker oplysninger, der muligvis ikke involverer en formel overførsel.
A.1.3.7 Adgang, rettelse eller sletning Adgang til personoplysninger Samarbejdsbestemmelser sikrer, at PII-principaler kan udøve adgangsrettigheder på tværs af overførselskæden
A.1.3.7 Adgang, rettelse eller sletning Samarbejde er afgørende for at sikre, at anmodninger om sletning kan imødekommes af modtagende parter
A.1.2.9 Registrering af behandling af personoplysninger Overførselsregistre er en del af de bredere registre over behandlingsaktiviteter

Hvad har ændret sig fra ISO 27701:2019?

I 2019-udgaven var dette krav dækket af klausul 7.5.3 (registreringer af PII-overførsler). Kernekravet er uændret, men 2025-vejledningen giver mere eksplicitte detaljer om indholdet af overførselsregistreringer og lægger større vægt på samarbejdsbestemmelser med modtagende parter. Den omstrukturerede Bilag A/B-formatet adskiller kontrolsætningen tydeligere fra den detaljerede implementeringsvejledning. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvorfor vælge ISMS.online til registrering af PII-overførsler?

ISMS.online tilbyder specialbyggede værktøjer til at vedligeholde omfattende overførselsregistre:

  • Overførselslog — Registrer hver PII-overførsel med strukturerede felter for modtager, PII-kategorier, dato, retsgrundlag og samarbejdsstatus
  • Tredjepartsadministration — Forbind overførselsregistreringer med leverandørprofiler med vedhæftede databehandleraftaler og samarbejdsklausuler
  • Sporing af anmodninger fra den registrerede — Når en PII-principal udøver sine rettigheder, spore deres data gennem overførselskæden og koordinere med modtagende parter
  • Fastholdelsesstyring — Markér automatisk overførselsposter, der nærmer sig deres opbevaringsgrænse, til gennemgang eller bortskaffelse
  • Overholdelse dashboards — Se med et hurtigt blik, hvilke overførsler der er fuldstændig dokumenteret, og hvilke der kræver opmærksomhed

Ofte Stillede Spørgsmål

Hvilket detaljeringsniveau er nødvendigt i overførselsregistre?

Overførselsregistreringer bør være detaljerede nok til at identificere de specifikke PII-kategorier, der overføres, den modtagende part, datoen og det juridiske grundlag. Du behøver ikke at registrere hvert enkelt datafelt, men kategorierne bør være meningsfulde (f.eks. "medarbejderkontaktoplysninger og lønoplysninger" i stedet for blot "personoplysninger"). Detaljeringsniveauet bør understøtte organisationens evne til at reagere på anmodninger om primære PII og demonstrere overholdelse af reglerne over for revisorer.

Hvordan skal samarbejde med tredjeparter dokumenteres?

Samarbejdsbestemmelser bør inkluderes i databehandleraftaler eller tilsvarende kontrakter. Disse bør specificere svartider for anmodninger om primære personoplysninger, processen for videresendelse af anmodninger, ansvar for at bistå med sletning eller berigtigelse samt eskaleringsprocedurer. Det er god praksis at teste disse samarbejdsmekanismer med jævne mellemrum i stedet for at vente på en aktiv anmodning for at opdage, at de ikke fungerer.

Tæller interne overførsler mellem koncernselskaber med?

Ja, hvis koncernens selskaber er separate juridiske enheder. Hver juridisk enhed er en separat dataansvarlig eller databehandler, så overførsler mellem dem er overførsler til tredjeparter i forbindelse med denne kontrol. Koncerninterne datadelingsaftaler bør indeholde de samme samarbejdsbestemmelser som eksterne aftaler, og overførslerne bør registreres i overførselsloggen.

Se vores vejledning om krav til revisionsbeviser for den specifikke overførselsdokumentation, som revisorer forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.