Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.2.4.3: Returnering, overførsel eller bortskaffelse af personoplysninger

Kontrol A.2.4.3 kræver, at organisationer skal kunne returnere, overføre eller bortskaffe personoplysninger på en sikker måde og stille deres bortskaffelsespolitik til rådighed for kunden. Dette sikrer, at personoplysninger ikke fortsætter efter afslutningen af ​​et behandlingsforhold.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.2.4.3?

Organisationen skal kunne returnere, overføre eller bortskaffe personoplysninger på en sikker måde. Den skal også stille sin politik til rådighed for kunden.

Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler, hvad der sker med personoplysninger ved afslutningen af ​​et behandlingsforhold. Når en kontrakt ophører, skal databehandleren være i stand til at returnere dataene til den dataansvarlige, overføre dem til en anden databehandler eller bortskaffe dem sikkert. Databehandlerens politik for håndtering af data ved kontraktens ophør skal være transparent og tilgængelig for kunden.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.2.4.3) indeholder følgende vejledning:

  • Flere indstillinger — Håndtering af data ved kontraktens ophør kan omfatte returnering af personoplysninger til kunden, overførsel til en anden organisation, sletning, afidentificering eller arkivering.
  • Omfattende sletning — Organisationen skal give sikkerhed for, at PII slettes overalt, inklusive sikkerhedskopier, så snart de ikke længere er nødvendige til det oprindelige formål.
  • Bortskaffelsespolitik — Organisationen skal udvikle en bortskaffelsespolitik og gøre den tilgængelig for kunderne
  • Opbevaring efter ophør — Bortskaffelsespolitikken bør dække opbevaringsperioden efter kontraktens ophør og specificere, hvor længe data skal opbevares før endelig bortskaffelse.
  • Se også A.2.4.4: PII-transmissionskontroller for relaterede krav

Vejledningen understreger fuldstændighed. Det er utilstrækkeligt at bortskaffe PII fra produktionssystemer, mens kopier efterlades i sikkerhedskopier. Databehandleren skal sikre, at alle kopier af PII, herunder dem i backupsystemer, katastrofeberedskabsmiljøer og arkiveret lagring, identificeres og bortskaffes inden for den dokumenterede opbevaringsperiode.

Hvordan relaterer dette sig til GDPR?

Kontrol A.2.4.3 knyttes til følgende GDPR artikler:

  • Artikel 28(3)(g) — Databehandleren skal efter den dataansvarliges valg slette eller returnere alle personoplysninger til den dataansvarlige efter levering af tjenesternes ophør og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret kræver opbevaring.
  • Artikel 30, stk. 1, litra f) — En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, herunder foranstaltninger til datahåndtering

GDPR Artikel 28(3)(g) giver den dataansvarlige ret til at vælge mellem sletning og tilbagelevering af data. Databehandleren skal understøtte begge muligheder. Den eneste undtagelse er, hvor EU-retten eller medlemsstaternes nationale ret kræver, at databehandleren opbevarer visse data, i hvilket tilfælde retsgrundlaget for opbevaringen skal dokumenteres.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.4.3 som en selvstændig kontrol med implementeringsvejledning i B.2.4.3, der specifikt omhandler sletning af backup, gennemsigtighed af politikker og opbevaringsperioder efter ophør. Det eksplicitte krav om at gøre bortskaffelsespolitikken tilgængelig for kunderne er en bemærkelsesværdig vægtning. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.2.4.3 vil revisorer typisk se efter:

  • Dokumenteret bortskaffelsespolitik — En skriftlig politik, der dækker returnering, overførsel og bortskaffelse af personoplysninger, herunder metoder til sikker sletning, anonymisering og arkivering
  • Kundetilgængelighed — Dokumentation for, at bortskaffelsespolitikken er blevet stillet til rådighed for kunderne, enten via kontraktlige bilag, kundeportaler eller direkte levering
  • Procedurer efter opsigelse — Dokumenterede procedurer for håndtering af personoplysninger efter kontraktens ophør, herunder definerede opbevaringsperioder og rækkefølgen af ​​returnerings-, overførsels- og bortskaffelsestrin
  • Mulighed for sletning af sikkerhedskopier — Dokumentation for, at organisationen kan identificere og slette personoplysninger fra backupsystemer, katastrofeberedskabsmiljøer og arkiveret lagring.
  • Bortskaffelsesregistre — Optegnelser over tidligere bortskaffelse af personoplysninger, herunder destruktionsattester, bekræftelse af datareturnering og bevis for sletning af sikkerhedskopier

Hvad er de relaterede kontroller?

kontrol Relationship
A.2.4.2 Midlertidige filer Bortskaffelse af midlertidige filer er en del af den bredere forpligtelse til bortskaffelse af personoplysninger
A.2.2.2 Kundeaftale Kontrakten skal specificere procedurer for returnering, overførsel og bortskaffelse af data
A.2.3.2 Forpligtelser over for PII-opdragsgivere Dataportabilitet og sletningsrettigheder forbindes med bortskaffelsesmuligheder
A.2.2.6 Kundens forpligtelser Bortskaffelsespolitikker er en del af de compliance-oplysninger, der gives til kunderne
A.2.5.8 Inddragelse af underleverandører Underleverandører skal også overholde kravene til bortskaffelse af personoplysninger

Hvem gælder denne kontrol for?

A.2.4.3 gælder udelukkende for PII-processorerVed afslutningen af ​​et behandlingsforhold skal den dataansvarlige have sikkerhed for, at deres data er blevet håndteret korrekt. Hvis databehandleren ikke kan returnere eller bortskaffe dataene sikkert, står den dataansvarlige over for en løbende compliance-risiko. Denne kontrol sikrer, at databehandlere har både kapaciteten og de dokumenterede procedurer til at håndtere datahåndtering ved kontraktens ophør.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til håndtering af bortskaffelse af personoplysninger?

ISMS.online giver praktiske værktøjer til håndtering af returnering, overførsel og bortskaffelse af personoplysninger:

  • Politikstyring — Opret og vedligehold din politik for bortskaffelse af personoplysninger med versionskontrol, godkendelsesworkflows og automatiserede gennemgangsplaner, så den forbliver opdateret
  • Kontraktsporing — Spor bortskaffelsesforpligtelser pr. kundekontrakt, herunder opbevaringsperioder efter ophør og kundens valgte bortskaffelsesmetode
  • Bortskaffelsesarbejdsgang — Administrer bortskaffelse af data ved kontraktens afslutning med strukturerede arbejdsgange, der dækker produktionssystemer, backup, disaster recovery og arkiveret lagring
  • Evidenshåndtering — Opbevar bortskaffelsesattester, returbekræftelser og sikkerhedskopieret sletning som strukturerede revisionsregistre
  • Overholdelseskortlægning — Forbind bortskaffelsesprocedurer med GDPR artikel 28(3)(g) og relaterede ISO 27701-kontroller, hvilket demonstrerer en omfattende tilgang

Ofte Stillede Spørgsmål

Hvordan bortskaffer man personoplysninger i backupsystemer?

Bortskaffelse af PII fra backups er et af de mest udfordrende aspekter af denne kontrol. Mulighederne omfatter: at tillade backupbånd at udløbe naturligt inden for en defineret rotationsperiode (dokumentation af den maksimale opbevaringstid); brug af backupsystemer, der understøtter detaljeret sletning af individuelle poster; kryptering af PII med kundespecifikke nøgler og destruktion af nøglen ved kontraktens udløb; eller implementering af en politik for udelukkelse af backup, der forhindrer, at PII sikkerhedskopieres efter bortskaffelsesudløseren. Den valgte tilgang bør dokumenteres i bortskaffelsespolitikken og kommunikeres til kunden.

Hvad hvis lovkrav forhindrer bortskaffelse?

Artikel 28(3)(g) i GDPR tillader databehandlere at opbevare personoplysninger efter kontraktens ophør, hvis EU-retten eller medlemsstaternes nationale lovgivning kræver det. Eksempler omfatter skatteregistre, data om finansielle transaktioner eller data, der er genstand for retssager. Hvor retlig opbevaring finder anvendelse, skal databehandleren dokumentere det specifikke retsgrundlag, omfanget af de opbevarede data, opbevaringsperioden og de anvendte adgangsbegrænsninger. Kunden skal informeres om enhver retligt påbudt opbevaring, der forhindrer fuldstændig bortskaffelse ved kontraktens udløb.

Skal bortskaffelsespolitikken inkluderes i kontrakten?

Ja. Bortskaffelsespolitikken bør enten inkluderes som et kontraktligt bilag eller henvises til i databehandleraftalen med en mekanisme, der giver kunden adgang til den aktuelle version. Dette sikrer, at begge parter er enige om bortskaffelsesmetoden, før behandlingen påbegyndes. Kontrakten bør også specificere kundens ret til at vælge mellem returnering og sletning, enhver opbevaringsperiode efter ophør og det format, hvori data returneres, hvis det anmodes om det.

Se vores vejledning om krav til revisionsbeviser for den databehandlerspecifikke dokumentation, som revisorer kræver.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.