Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.2.5.3: Lande og internationale organisationer til overførsel af personoplysninger

Kontrol A.2.5.3 kræver, at organisationer specificerer og dokumenterer de lande og internationale organisationer, hvortil PII muligvis kan overføres. Dette giver kunderne den gennemsigtighed, de har brug for til at vurdere deres egne compliance-forpligtelser for grænseoverskridende datastrømme.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.2.5.3?

Organisationen skal specificere og dokumentere de lande og internationale organisationer, hvortil PII muligvis kan overføres.

Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler et grundlæggende krav om gennemsigtighed. Dataansvarlige skal vide, hvor deres data kan ende, fordi forskellige jurisdiktioner har forskellige databeskyttelsesstandarder. Uden en dokumenteret liste over overførselsdestinationer kan den dataansvarlige ikke udføre konsekvensanalyser for overførsler eller sikre overholdelse af krav om grænseoverskridende overførsler.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.2.5.3) indeholder følgende vejledning:

  • Normal drift — Lande, der er involveret i normal drift, bør stilles til rådighed for kunderne
  • Underleverandørbehandling — Listen bør omfatte lande, der er involveret gennem underleverandøraftaler om forarbejdning
  • Overførsler af juridiske beføjelser — Uden for den normale drift kan overførsler, der kræves af juridiske myndigheder, muligvis ikke specificeres på forhånd, eller de kan være forbudt at videregive for at bevare undersøgelsens fortrolighed
  • Se også A.2.5.9: Skift af underleverandør til behandling af personoplysninger for relaterede krav

Vejledningen skelner væsentligt mellem overførsler, der er en del af den normale drift (som skal dokumenteres og oplyses), og overførsler, der kræves af juridiske myndigheder (som muligvis ikke er forudsigelige eller oplyses). For normal drift skal databehandleren føre en omfattende liste, der omfatter både direkte overførselsdestinationer og overførsler, der introduceres via underleverandører.

Hvordan relaterer dette sig til GDPR?

Kontrol A.2.5.3 knyttes til følgende GDPR artikel:

  • Artikel 30, stk. 2, litra c) — Registreringen af ​​behandlingsaktiviteter udført på vegne af en dataansvarlig skal indeholde overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation

GDPR Artikel 30(2)(c) gør dette til en obligatorisk registreringsforpligtelse. Databehandlere skal inkludere overførselsdestinationer i deres registre over behandlingsaktiviteter. Dette er ikke valgfrit for databehandlere med 250 eller flere ansatte, og gælder også for mindre databehandlere, hvor behandlingen sandsynligvis vil resultere i en risiko for de registrerede.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.3 som en selvstændig kontrol med implementeringsvejledning i B.2.5.3, der specifikt skelner mellem normale operationelle overførsler og overførsler af juridisk myndighed. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.2.5.3 vil revisorer typisk se efter:

  • Landeregister — En dokumenteret, vedligeholdt liste over alle lande og internationale organisationer, hvortil PII muligvis kan overføres under normal drift
  • Underleverandørdækning — Dokumentation for, at landelisten omfatter destinationer, der er indført gennem underleverandørbehandling, ikke kun direkte overførsler
  • Kundetilgængelighed — Dokumentation for, at landelisten er blevet stillet til rådighed for kunderne, enten via kontrakter, kundeportaler eller direkte kommunikation
  • Registrering af behandlingsaktiviteter — Overførselsdestinationer registreret i artikel 30, stk. 2, i registret over behandlingsaktiviteter
  • Opdateringsprocedurer — En dokumenteret proces til opdatering af landelisten, når nye overførselsdestinationer tilføjes, herunder procedurer for kundeunderretning

Hvad er de relaterede kontroller?

kontrol Relationship
A.2.5.2 Grundlag for overførsel af personoplysninger Hvert dokumenteret land kræver et dokumenteret juridisk grundlag for overførslen
A.2.5.7 Oplysninger om underleverandører Oplysninger om underleverandører omfatter de lande, hvor underleverandørerne opererer
A.2.5.8 Inddragelse af underleverandører Underleverandørkontrakter skal omhandle overførselsdestinationer
A.2.2.7 Forarbejdningsregistre Overførselsdestinationer er et obligatorisk element i behandling af registre
A.2.5.4 Registrering af oplysninger om personoplysninger Videregivelser til organisationer i andre lande bør registreres hos modtagerlandet

Hvem gælder denne kontrol for?

A.2.5.3 gælder udelukkende for PII-processorerDataansvarlige har brug for disse oplysninger for at udføre deres egne konsekvensanalyser af overførsler og for at opfylde deres gennemsigtighedsforpligtelser over for registrerede. Hvis en databehandler ikke kan fortælle sine kunder, hvor personoplysninger kan overføres, kan den dataansvarlige ikke overholde sine egne databeskyttelsesforpligtelser. Dette gør landelisten til et grundlæggende element i databehandlergennemsigtighed.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvorfor vælge ISMS.online til styring af overførselsdestinationer?

ISMS.online tilbyder praktiske værktøjer til dokumentation og administration af PII-overførselsdestinationer:

  • Landeregister — Vedligehold et centraliseret, versionskontrolleret register over alle lande og internationale organisationer, hvortil personoplysninger kan overføres
  • Integration af underleverandører — Forbind underleverandørregistreringer med deres behandlingssteder, så underleverandørlande automatisk inkluderes i din overførselsdestinationsliste.
  • Kunderapportering — Generer overførselsdestinationsrapporter for kunder, der viser alle lande involveret i behandlingen af ​​deres data
  • Ændringssporing — Spor tilføjelser og fjernelser fra landelisten med fuldt revisionsspor og automatiserede kundemeddelelser
  • Overholdelseskortlægning — Knyt hver overførselsdestination til dens retsgrundlag (A.2.5.2 Grundlag for overførsel af personoplysninger) og relaterede kontraktbestemmelser for at få et fuldstændigt billede af overholdelsen

Ofte Stillede Spørgsmål

Skal landelisten omfatte regioner for cloududbydere?

Ja. Hvis din cloudinfrastruktur opererer i flere regioner eller tilgængelighedszoner, skal hvert land, hvor data kan lagres eller behandles, inkluderes på landelisten. Dette inkluderer primære behandlingssteder, failover-regioner og alle steder, der bruges til datareplikering eller backup. Selv hvis du konfigurerer en bestemt region, skal du kontrollere, om cloududbyderens vilkår tillader, at data behandles eller midlertidigt lagres andre steder af driftsmæssige årsager.

Hvad med overførsler, der kræves af politiet?

Vejledningen i bilag B anerkender, at overførsler, der kræves af juridiske myndigheder, muligvis ikke kan specificeres på forhånd og kan være forbudt at videregive for at bevare undersøgelsens fortrolighed. Disse overførsler falder uden for rammerne af den normale liste over lande, der opererer. Du bør dog stadig dokumentere din procedure for håndtering af sådanne anmodninger (dækket af A.2.5.5 Anmodninger om videregivelse af personoplysninger og A.2.5.6 Juridisk bindende oplysninger) og informere kunder, hvor det er lovligt tilladt.

Hvor ofte skal landelisten gennemgås?

Landelisten bør gennemgås, når der sker ændringer i din behandlingsinfrastruktur, underleverandøraftaler eller cloududbyderkonfigurationer. Som minimum bør du foretage en årlig gennemgang for at bekræfte, at listen forbliver nøjagtig. Ændringer i listen bør udløse den kundeunderretningsproces, der kræves af A.2.5.2 Grundlag for overførsel af personoplysninger, hvilket giver kunderne mulighed for at vurdere konsekvenserne og om nødvendigt gøre indsigelse.

Vores vejledning til grænseoverskridende dataoverførsler dækker både forpligtelser til overførsel af dataansvarlige og databehandlere i henhold til ISO 27701:2025.

Se vores vejledning om krav til revisionsbeviser for den dokumentation, som revisorer forventer til overførselskontroller.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.