Hvad kræver kontrol A.3.13?
Juridiske, lovbestemte, regulatoriske og kontraktlige krav relevante for informationssikkerhed i forbindelse med behandling af personoplysninger og organisationens tilgang til at opfylde disse krav skal dokumenteres, og denne dokumentation skal holdes ajour.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og fastlægger en grundlæggende forpligtelse: Du kan ikke overholde lovkrav, hvis du ikke har identificeret, hvad de er. Denne kontrol sikrer, at organisationer fører et levende register over alle gældende forpligtelser og en dokumenteret tilgang til at opfylde hver enkelt.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.13) indeholder følgende vejledning:
- Identificér potentielle sanktioner — Organisationer bør identificere de potentielle juridiske sanktioner for manglende opfyldelse af deres forpligtelser, herunder betydelige bøder, som tilsynsmyndighederne kan pålægge for manglende overholdelse
- Internationale standarder som kontraktgrundlag — I nogle jurisdiktioner kan internationale standarder som ISO 27701 danne grundlag for kontraktlige aftaler mellem parter og dermed skabe en anerkendt ramme for privatlivsforpligtelser
- Se også A.3.3: Politikker for informationssikkerhed for relaterede krav
- Se også A.3.4: Roller og ansvar inden for informationssikkerhed for relaterede krav
Vejledningen er bevidst bred, fordi de specifikke juridiske krav varierer enormt afhængigt af jurisdiktion, branche og type af PII, der behandles. Princippet er det samme overalt: kend dine forpligtelser, og dokumenter, hvordan du opfylder dem.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.13 knytter sig til flere GDPR artikler:
- Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, som ligger til grund for sikkerhedskravene
- Artikel 32, stk. 1, litra d) — En proces til regelmæssig testning, vurdering og evaluering af foranstaltningernes effektivitet
- Artikel 32 (2) — Vurdering af et passende sikkerhedsniveau under hensyntagen til de risici, der er forbundet med behandlingen
- Artikel 5 (2) — Ansvarlighedsprincippet, der kræver, at den dataansvarlige er ansvarlig for og påviser overholdelse af reglerne
- Artikel 32 (1) (b) — Sikring af løbende fortrolighed, integritet, tilgængelighed og robusthed
Under GDPR, kan de potentielle bøder for manglende overholdelse nå op til 4 % af den årlige globale omsætning eller 20 millioner euro, alt efter hvad der er højest – hvilket gør identifikation af juridiske krav til en forretningskritisk aktivitet.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.15.1.1 (identifikation af gældende lovgivning og kontraktlige krav) og 6.15.1.5 (regulering af kryptografiske kontroller). 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.13), hvilket udvider anvendelsesområdet til at dække alle juridiske, lovpligtige, regulatoriske og kontraktlige krav på ét sted. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.13 vil revisorer typisk se efter:
- Juridisk og regulatorisk register — Et dokumenteret register, der viser alle gældende love, bestemmelser og kontraktlige forpligtelser i forbindelse med behandling af personoplysninger, herunder jurisdiktion og ikrafttrædelsesdatoer
- Overholdelseskortlægning — Dokumentation for, hvordan hvert enkelt juridisk krav er imødekommet af organisationens politikker, procedurer eller kontroller
- Gennemgangsplan — En defineret proces til gennemgang og opdatering af registret, når lovgivningen ændres, nye jurisdiktioner tiltrædes, eller nye kontrakter underskrives
- Sanktionsbevidsthed — Dokumentation, der viser, at organisationen forstår de potentielle konsekvenser af manglende overholdelse, herunder økonomiske sanktioner
- Versionshistorik — Bevis for, at dokumentationen aktivt er blevet vedligeholdt, ikke blot oprettet én gang og glemt
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.10 Leverandøraftaler | Kontraktkrav med leverandører skal identificeres og dokumenteres |
| A.3.11 Planlægning af hændelseshåndtering | Procedurer for anmeldelse af brud skal tage højde for gældende juridiske tidsfrister |
| A.3.16 Overholdelse af politikker | Regelmæssige evalueringer verificerer, at de juridiske krav overholdes i praksis |
| A.3.14 Beskyttelse af optegnelser | Juridiske og compliance-dokumenter skal beskyttes og opbevares på passende vis |
| A.3.15 Uafhængig gennemgang | Uafhængige revisioner kan verificere, at kortlægningen af lovoverholdelse er nøjagtig |
Hvem gælder denne kontrol for?
A.3.13 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige står typisk over for en bredere vifte af juridiske forpligtelser (databeskyttelseslove, sektorspecifikke bestemmelser, kontraktlige forpligtelser over for registrerede), mens databehandlere også skal identificere deres egne forpligtelser i henhold til databehandleraftaler og gældende lovgivning. Begge roller har brug for et vedligeholdt compliance-register.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til at spore juridiske og regulatoriske krav?
ISMS.online giver praktiske værktøjer til at vedligeholde dit compliance-register og demonstrere løbende opmærksomhed:
- Reguleringsregister — Vedligehold et struktureret register over alle gældende love, regler og kontraktlige krav med jurisdiktionel mærkning og ikrafttrædelsesdatoer
- Overholdelseskortlægning — Forbind hvert juridisk krav med de specifikke politikker, kontroller og beviser, der påviser overholdelse
- Automatiske påmindelser om gennemgang — Indstil gennemgangscyklusser, så dit register kontrolleres med planlagte intervaller, med opgavetildelinger til opdateringer
- Forandringsledelse — Spor lovgivningsmæssige ændringer og nye kontraktlige forpligtelser med versionshistorik og revisionsspor
- Multi-framework-justering — Kortlæg juridiske krav på tværs af ISO 27701, ISO 27001, GDPR og andre rammer i ét overblik
Ofte Stillede Spørgsmål
Hvor ofte skal de lovpligtige registerkrav gennemgås?
Standarden kræver, at dokumentationen holdes opdateret. Organisationer bør som minimum gennemgå registret årligt og når der sker en væsentlig ændring – såsom at indtaste en ny jurisdiktion, lancere et nyt produkt, der behandler personoplysninger, eller når relevant lovgivning ændres. Ved at knytte gennemgange til ledelsens gennemgangscyklusser er det med til at sikre, at de sker konsekvent.
Kan ISO 27701-certificering opfylde kontraktlige overholdelsesforpligtelser?
Implementeringsvejledningen bemærker, at internationale standarder som ISO 27701 i nogle jurisdiktioner kan danne grundlag for kontraktlige aftaler. Selvom certificering demonstrerer et robust system til styring af privatlivets fred, kan individuelle kontrakter pålægge yderligere krav ud over standarden. Hver kontraktlig forpligtelse bør vurderes individuelt og inkluderes i compliance-registeret.
Hvad er konsekvenserne af ikke at identificere gældende lovkrav?
Manglende identifikation af gældende lovkrav kan resultere i betydelige bøder fra tilsynsmyndigheder, krav om kontraktbrud fra kunder og partnere, tab af forretning og omdømmeskade. I henhold til GDPR kan bøder nå op til 4 % af den årlige globale omsætning. Ud over økonomiske sanktioner er uvidenhed om et lovkrav ikke et forsvar i håndhævelsesprocedurer.
Se vores analyse af omkostninger ved manglende overholdelse vs. certificering for de økonomiske konsekvenser af manglende overholdelse af lovgivningen.
Organisationer, der navigerer i flere rammer, bør læse ISO 27701:2025 vs. SOC 2: Hvilken har du brug for?.
