Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.5.5: Registrering af PII-oplysninger til tredjeparter

Kontrol A.1.5.5 kræver, at organisationer registrerer videregivelser af personoplysninger til tredjeparter, herunder hvilke personoplysninger der er blevet videregivet, til hvem og på hvilket tidspunkt. Dette registrerer både rutinemæssige og ekstraordinære videregivelser og giver et komplet revisionsspor.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.5.5?

Organisationen skal registrere videregivelser af personoplysninger til tredjeparter, herunder hvilke personoplysninger der er blevet videregivet, til hvem og på hvilket tidspunkt.

Dette er den sidste kontrol i PII-overførsel målsætning (A.1.5) inden for PII-controllerkontroller. Mens A.1.5.4 Optegnelser over PII-overførsel fokuserer på registrering af formelle overførsler, udvider A.1.5.5 omfanget til at omfatte alle oplysninger, herunder dem, der falder uden for den typiske overførselsramme.

Vores vejledning til grænseoverskridende dataoverførsler giver komplette retningslinjer for implementering af overførselsbeskyttelse i henhold til ISO 27701:2025.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.5.5) indeholder følgende vejledning:

  • Normale driftsoplysninger bør registreres, såsom deling af personoplysninger med en databehandler, en forretningspartner eller en tjenesteudbyder som en del af rutinemæssige operationer
  • Yderligere oplysninger Uden for normal drift bør også registreres, såsom oplysninger givet som svar på juridiske undersøgelser, revisionsanmodninger fra tilsynsmyndigheder eller retskendelser
  • Optegnelserne bør indeholde kilden til afsløringen — den person eller det system, der initierede eller godkendte videregivelsen
  • Optegnelserne bør indeholde bemyndigelse til at foretage videregivelsen — det retlige grundlag, den kontraktlige forpligtelse eller den interne bemyndigelse, der tillod det

Sondringen mellem "normale" og "yderligere" oplysninger er vigtig. Mange organisationer sporer rutinemæssig datadeling, men undlader at registrere ad hoc-oplysninger, der foretages under pres, f.eks. som svar på en anmodning fra retshåndhævende myndigheder. Begge skal registreres.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.5.5 knytter sig til GDPR Artikel 30(1)(d), som kræver, at fortegnelser over behandlingsaktiviteter omfatter de kategorier af modtagere, som personoplysninger er blevet eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.

Dette går ud over blot at liste modtagerkategorier. Kombinationen af A.1.5.4 Optegnelser over PII-overførsel og A.1.5.5 sikrer, at organisationer på et detaljeret niveau kan demonstrere præcis, hvad der blev delt med hvem og hvornår.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter ISO 29100 princippet om Begrænsning af brug, opbevaring og videregivelseRegistrering af hver videregivelse skaber et bevisgrundlag for at demonstrere, at personoplysninger kun deles, hvor der er en dokumenteret og berettiget grund, og at unødvendige eller uautoriserede videregivelser kan identificeres og undersøges.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.5.5 vil revisorer typisk se efter:

  • Oplysningsregister — En struktureret log over alle videregivelser af personoplysninger, der viser de videregivne personoplysninger, modtageren, dato/tidspunkt og myndigheden for videregivelsen
  • Autorisationsregistre — Dokumentation for, hvem der har godkendt hver videregivelse, især for ikke-rutinemæssige videregivelser såsom anmodninger fra retshåndhævelse
  • Proces dokumentation — Definerede procedurer for registrering af oplysninger, herunder hvem der er ansvarlig for at føre registeret
  • Dækning af ikke-rutinemæssige oplysninger — Dokumentation for, at processen indsamler oplysninger uden for den normale drift, ikke blot rutinemæssig datadeling
  • Overensstemmelse med overførselsregistreringer — At oplysningsregistreringerne stemmer overens med de overførselsregistreringer, der opbevares i henhold til A.1.5.4 Optegnelser over PII-overførsel

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.5.4 Optegnelser over overførsel af personoplysninger Overførselsregistre dækker formelle overførsler; offentliggørelsesregistre indfanger det bredere billede, herunder ad hoc-offentliggørelser
A.1.5.2 Identificér grundlaget for overførsel af personoplysninger Retsgrundlaget for overførsler gælder også for videregivelser, der involverer grænseoverskridende datastrømme
A.1.5.3 Lande til overførsel af personoplysninger Oplysninger til parter i andre jurisdiktioner skal være i overensstemmelse med den godkendte destinationsliste
A.1.2.9 Registrering af behandling af personoplysninger Oplysningsregistre er en del af de samlede registre over behandlingsaktiviteter
A.1.3.3 Information til PII-principaler Bestemmelse af oplysninger for PII-principper Personoplysninger kan have brug for at blive informeret om videregivelse af deres data
A.1.3.8 Forpligtelser til at informere tredjeparter Visse oplysninger kan udløse underretningsforpligtelser for PII-ledere

Hvad har ændret sig fra ISO 27701:2019?

I 2019-udgaven var dette krav dækket af klausul 7.5.4 (registrering af PII-videregivelse til tredjeparter). 2025-versionen bevarer de samme kernekrav, men den omstrukturerede bilag B-vejledning skelner nu mere eksplicit mellem normale operationelle oplysninger og yderligere oplysninger (juridiske undersøgelser, revisioner). Kravet om at registrere kilden og myndigheden for hver videregivelse gives også større vægt. Se Bilag F korrespondancetabel for den fulde kortlægning.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvorfor vælge ISMS.online til sporing af PII-afsløringer?

ISMS.online gør det nemt at føre en komplet oplysningsregistrering:

  • Oplysningsregister — Logfør alle PII-afsløringer med strukturerede felter for modtager, PII-kategorier, dato/tidspunkt, kilde og godkendelse
  • Arbejdsgang for ikke-rutinemæssige oplysninger — Indbyggede godkendelsesworkflows for anmodninger fra retshåndhævelse og andre ekstraordinære oplysninger, der sikrer, at korrekt godkendelse indhentes, før data deles
  • Tilknyttede poster — Forbind oplysninger om oplysninger til de relevante databehandleraftaler, overførselsregistre og PII-hovedprofiler
  • Revisionsspor — Hver offentliggørelsesregistrering indeholder en fuldstændig historik over, hvem der oprettede, ændrede eller gennemgik den
  • Rapportering — Generer offentliggørelsesrapporter efter modtager, tidsperiode, PII-kategori eller godkendelsestype til ledelsesgennemgang og revisioner

Ofte Stillede Spørgsmål

Hvad er forskellen på en overførsel og en offentliggørelse?

En overførsel refererer typisk til den systematiske flytning af PII fra én jurisdiktion eller organisation til en anden under en defineret aftale (f.eks. en databehandleraftale). En videregivelse er bredere og omfatter enhver deling af PII med en tredjepart, uanset om det er rutinemæssigt eller engangsforekomst. Alle overførsler er videregivelser, men ikke alle videregivelser er overførsler. For eksempel er det at give PII til en retshåndhævende myndighed som svar på en retskendelse en videregivelse, men muligvis ikke en overførsel i traditionel forstand.

Hvordan skal vi håndtere videregivelser til retshåndhævende myndigheder?

Offentliggørelser af oplysninger fra retshåndhævende myndigheder bør følge en defineret procedure. Registrer den modtagne anmodning, den citerede juridiske myndighed, hvem i organisationen der godkendte videregivelsen, hvilke personoplysninger der blev delt, hvornår og til hvilken myndighed. Hvis anmodningen er uformel (f.eks. en mundtlig anmodning uden en retskendelse), skal beslutningsprocessen og grundlaget for videregivelsen eller afvisningen dokumenteres.

Skal vi underrette PII-ledere om videregivelser?

Det afhænger af jurisdiktionen og videregivelsens art. GDPR, har registrerede ret til at kende kategorierne af modtagere. For specifikke videregivelser kan der kræves underretning i henhold til A.1.3.8 Forpligtelser til at informere tredjeparter (underretning om ændring, behandling eller videregivelse). Visse videregivelser, især til retshåndhævende myndigheder, kan dog være undtaget fra underretningskrav, hvis underretning af den personoplysninger, der er ansvarlige for personoplysninger, ville være til skade for efterforskningen.

Se vores vejledning om krav til revisionsbeviser for den specifikke overførselsdokumentation, som revisorer forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.