Hvad er PII-processorkontrollerne i ISO 27701:2025?
Tabel A.2 af ISO 27701:2025 Bilag A definerer 18 kontroller, der gælder for enhver organisation, der fungerer som en PII-behandler. En PII-behandler behandler PII på vegne af og efter instruktioner fra en PII-ansvarlig.
Disse kontroller er grupperet i fire mål:
- Betingelser for indsamling og forarbejdning (A.2.2) — 6 kontroller, der dækker kundeaftaler, formålsbegrænsninger, markedsføringsrestriktioner og optegnelser
- Forpligtelser over for PII-hovedpersoner (A.2.3) — 1 kontrol, der dækker compliance-assistance til kunden
- Privatliv gennem design og privatliv som standard (A.2.4) — 3 kontroller, der dækker midlertidige filer, returnering/bortskaffelse af personoplysninger og transmission
- Deling, overførsel og videregivelse af personoplysninger (A.2.5) — 8 kontroller, der dækker overførsler, videregivelse og håndtering af underleverandører
Implementeringsvejledning for hver kontrol findes i bilag B, afsnit B.2 (f.eks. vejledning til A.2.2.2 Kundeaftale er ved B.2.2.2).
Komplet liste over kontroller i tabel A.2
| kontrol | Emne | Resumé |
|---|---|---|
| A.2.2.2 Kundeaftale | Kundeaftale | Sørg for, at kontrakter adresserer databehandlerens rolle i at bistå med kundens forpligtelser |
| A.2.2.3 Organisationens formål | Organisationens formål | Behandl kun personoplysninger til de formål, der er beskrevet i kundens dokumenterede instruktioner |
| A.2.2.4 Markedsføring og reklame | Brug af markedsføring og reklame | Brug ikke kontraktlige personoplysninger til markedsføring uden relevant samtykke fra hovedansvarlig personoplysninger |
| A.2.2.5 Krænkende instruktion | Krænkende instruktion | Informer kunden, hvis en behandlingsinstruktion overtræder gældende lov |
| A.2.2.6 Kundens forpligtelser | Kundens forpligtelser | Giv kunden oplysninger for at demonstrere deres overholdelse af reglerne |
| A.2.2.7 Registrering af behandling af personoplysninger | Optegnelser relateret til behandling af personoplysninger | Vedligehold optegnelser, der viser overholdelse af kontraktlige PII-forpligtelser |
| A.2.3.2 Forpligtelser over for PII-opdragsgivere | Overhold forpligtelser over for personoplysninger | Giv kunden midlerne til at overholde de primære forpligtelser vedrørende personoplysninger |
| A.2.4.2 Midlertidige filer | Midlertidige filer | Bortskaf midlertidige filer fra PII-behandling inden for en dokumenteret periode |
| A.2.4.3 Returnering, overførsel eller bortskaffelse | Returnering, overførsel eller bortskaffelse af personoplysninger | Returner, overfør eller bortskaf personligt identificerbare oplysninger sikkert, og gør politikken tilgængelig |
| A.2.4.4 PII-transmissionskontroller | PII-transmissionskontroller | Relevante personoplysninger transmitteret via netværk til relevante kontrolorganer |
| A.2.5.2 Grundlag for overførsel af personoplysninger | Grundlag for overførsel af personoplysninger mellem jurisdiktioner | Informer kunden rettidigt om grundlaget for internationale PII-overførsler |
| A.2.5.3 Lande til overførsel af personoplysninger | Lande og internationale organisationer til overførsel af personoplysninger | Angiv og dokumenter lande og organisationer, som personoplysninger kan overføres til |
| A.2.5.4 Registrering af PII-oplysninger | Registrering af videregivelse af personoplysninger til tredjeparter | Registrer oplysninger om personoplysninger, herunder hvad der blev videregivet, til hvem og hvornår |
| A.2.5.5 Anmodninger om videregivelse af personoplysninger | Meddelelse om anmodninger om offentliggørelse af personoplysninger | Underret kunden om eventuelle juridisk bindende anmodninger om offentliggørelse |
| A.2.5.6 Juridisk bindende oplysninger | Juridisk bindende oplysninger om personoplysninger | Afvis ikke-bindende anmodninger og konsulter kunden før videregivelse |
| A.2.5.7 Oplysninger om underleverandører | Videregivelse af underleverandører, der anvendes til at behandle personoplysninger | Oplys kunden, om der anvendes underleverandører, inden brug |
| A.2.5.8 Inddragelse af underleverandører | Engagement af en underleverandør til behandling af personoplysninger | Brug kun underleverandører i henhold til kundekontrakten |
| A.2.5.9 Skift af underleverandør | Skift af underleverandør til behandling af personoplysninger | Informer kunden om planlagte ændringer hos underleverandører og tillad indsigelse |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan hænger databehandlerkontroller sammen med GDPR?
Tabel A.2 viser primært GDPR Artikel 28 (databehandlerforpligtelser) og artikel 30 (registrering af behandling). Vigtige forbindelser:
- A.2.2.2 Kundeaftale–3 (Aftaler og formål) → Artikel 28(3)(a), Artikel 29 — behandling under den dataansvarliges myndighed
- A.2.2.7 Registrering af behandling af personoplysninger (Optegnelser) → Artikel 30(2-5) — databehandlerregistre over behandlingsaktiviteter
- A.2.4.3 Returnering, overførsel eller bortskaffelse (Returnering/bortskaffelse) → Art. 28(3)(g) — sletning eller returnering efter tjenestens ophør
- A.2.5.7 Oplysninger om underleverandører–9 (Underleverandører) → Art. 28(2-4) — godkendelse af underdatabehandlere og ændringer
Hvad gælder ellers for PII-behandlere?
Tabel A.2 er ikke det komplette sæt af krav til PII-processorer. Du skal også implementere de gældende kontroller fra Tabel A.3 (fælles sikkerhedskontroller), som dækker grundlæggende informationssikkerhedselementer som adgangskontrol, hændelsesstyring, kryptografi og logning.
Hvorfor vælge ISMS.online for overholdelse af PII-processorer?
ISMS.online hjælper dig med at implementere og dokumentere alle kontroller i tabel A.2:
- Kontraktstyring — Spor kundeaftaler, behandlingsformål og complianceforpligtelser
- Underleverandørregister — Dokumentér underleverandører, deres placeringer og kundenotifikationsprocessen
- Overfør poster — Vedligehold et register over internationale overførsler med dokumentation for det juridiske grundlag
- Logføring af offentliggørelse — Registrer alle oplysninger om personoplysninger med detaljer om hvad, til hvem og hvornår
- Procedurer ved ophør af tjeneste — Dokumentér og spor PII-returnering, overførsel eller bortskaffelsesprocesser
- Dobbeltrollesupport — Hvis du fungerer som både dataansvarlig og databehandler, skal du administrere begge Tabel A.1 og A.2 på ét sted
Ofte Stillede Spørgsmål
Hvorfor er der kun 18 processorkontroller sammenlignet med 31 controllerkontroller?
Personoplysninger-behandlere handler efter den dataansvarliges instruktioner, så mange privatlivsbeslutninger (retsgrundlag, samtykke, registreredes rettigheder) er den dataansvarliges ansvar. Behandlerkontroller fokuserer på kontraktlig overholdelse, behandlingsbegrænsninger, håndtering af underleverandører og håndtering af videregivelse.
Kan en organisation være både dataansvarlig og databehandler?
Ja. Mange organisationer fungerer som dataansvarlige for nogle behandlingsaktiviteter og databehandlere for andre. I dette tilfælde både Tabel A.1 og tabel A.2 gælder, med separate roller fastlagt for hver behandlingsaktivitet. ISO 27701:2025 klausul 4.1 kræver, at du fastlægger din rolle for hver forekomst af PII-behandling.
Har jeg også brug for tabel A.3 som processor?
Ja. Tabel A.3 (fælles sikkerhedskontroller) gælder for både dataansvarlige og databehandlere. Som databehandler har du brug for både tabel A.2 (databehandlerspecifik) og Tabel A.3 (delt sikkerheds)kontroller i din erklæring om anvendelighed.
SaaS-organisationer finder skræddersyet vejledning til databehandlere i vores vejledning til SaaS-platforme.
Se hvordan indkøbsteams bruger ISO 27701 til at evaluere forarbejdningsvirksomheder i vores vejledning til leverandørevaluering og indkøbskrav guide.
