Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.14: Beskyttelse af optegnelser

Kontrol A.3.14 kræver, at organisationer beskytter registre relateret til behandling af personoplysninger mod tab, ødelæggelse, forfalskning og uautoriseret adgang. Opretholdelse af pålidelige registre er afgørende for ansvarlighed i henhold til ISO 27701:2025.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.14?

Registreringer relateret til behandling af personoplysninger skal beskyttes mod tab, destruktion, forfalskning, uautoriseret adgang og uautoriseret frigivelse.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler et grundlæggende styringskrav: de registre, der demonstrerer din overholdelse af privatlivets fred, skal selv være sikre. Hvis registre kan mistes, ændres eller tilgås uden tilladelse, mister de deres værdi som bevis for overholdelse.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.14) indeholder følgende vejledning:

  • Historisk politisk gennemgang — Gennemgang af både nuværende og historiske politikker kan være nødvendig i visse situationer, f.eks. ved løsning af kundetvister eller ved reaktion på undersøgelser foretaget af tilsynsmyndigheder.
  • Gem kopier af dokumentation om beskyttelse af personlige oplysninger — Opbevar kopier af privatlivspolitikker og -procedurer i den periode, der er angivet i organisationens opbevaringsplan, herunder tidligere versioner, når politikkerne opdateres.

Vejledningen fremhæver, at beskyttelse af registre ikke kun handler om aktuelle dokumenter. Organisationer kan være nødt til at påvise, hvilke politikker der var på plads på et bestemt tidspunkt – for eksempel for at vise, at der var tilstrækkelige sikkerhedsforanstaltninger, da et brud fandt sted, eller for at reagere på en klage fra en registreret, der henviser til tidligere behandlinger.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.14 knytter sig til GDPR Artikel 5(2) (ansvarlighedsprincippet) og artikel 24(2) (implementering af passende databeskyttelsespolitikker). Ansvarlighedsprincippet kræver, at dataansvarlige skal kunne påvise overholdelse af reglerne, hvilket udelukkende afhænger af, at de har pålidelige og beskyttede registre. Hvis registre mistes eller manipuleres, kan organisationen ikke opfylde denne forpligtelse.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 6.15.1.3 (beskyttelse af optegnelser). 2025-udgaven bevarer kernekravene som A.3.14 med en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.14. Vægten på at bevare historiske versioner af privatlivspolitikker er fortsat et centralt element i vejledningen. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.14 vil revisorer typisk se efter:

  • Politik for opbevaring af dokumenter — En dokumenteret politik, der specificerer, hvor længe PII-behandlingsregistre opbevares, herunder minimumsopbevaringsperioder for forskellige registreringskategorier
  • Version kontrol — Dokumentation for, at tidligere versioner af privatlivspolitikker, procedurer og behandlingsregistre opbevares og er tilgængelige, med tydelig versionsnummerering og datoer
  • Adgangskontroller — Begrænsninger for, hvem der kan få adgang til, ændre og slette privatlivsregistre, med revisionslogning af eventuelle ændringer
  • Sikkerhedskopiering og gendannelse — Dokumentation for, at der er sikkerhedskopieret data og kan gendannes i tilfælde af systemfejl eller datatab
  • Integritetskontroller — Mekanismer til at opdage og forhindre forfalskning af registre, såsom revisionsspor, digitale signaturer eller manipulationssikret opbevaring

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.9 Adgangsrettigheder Adgang til privatlivsregistre skal begrænses til autoriseret personale
A.3.12 Hændelsesrespons Dataoversigter over brud skal beskyttes som en del af organisationens datahåndtering
A.3.13 Juridiske og kontraktlige krav Opbevaringsperioder kan være drevet af juridiske forpligtelser
A.3.15 Uafhængig gennemgang Revisorer skal have adgang til historiske optegnelser for at verificere løbende overholdelse af reglerne
A.3.16 Overholdelse af politikker Praksis til beskyttelse af dokumenter bør verificeres under compliance-evalueringer

Hvem gælder denne kontrol for?

A.3.14 er en delt kontrol Det gælder både for dataansvarlige og databehandlere af personoplysninger. Dataansvarlige skal beskytte optegnelser, der viser, at de overholder databeskyttelseslovgivningen, herunder behandlingsregistre, samtykkeregistre og vurderinger af konsekvenser for privatlivets fred. Databehandlere skal beskytte optegnelser over behandlingsaktiviteter udført på vegne af dataansvarlige, anmeldelser af brud på sikkerheden og kontraktlig dokumentation.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til beskyttelse af PII-behandlingsregistre?

ISMS.online giver praktiske værktøjer til at opretholde sikre, kontrollerbare privatlivsregistre:

  • Versionsstyret dokumenthåndtering — Alle politikker, procedurer og registre er versionskontrollerede med fuld ændringshistorik, så du altid kan hente den version, der var gældende på et hvilket som helst tidspunkt
  • Rollebaseret adgangskontrol — Begræns adgangen til privatlivsregistre efter rolle, og sørg for at kun autoriseret personale kan se, redigere eller eksportere følsom dokumentation
  • Sikkerhedssikret revisionsspor — Alle ændringer i poster logges med tidsstempler og brugeridentiteter, hvilket giver bevis for integritet
  • Automatiseret opbevaringsstyring — Indstil opbevaringsperioder for forskellige posttyper med advarsler før udløb, og sørg for overholdelse af din opbevaringsplan
  • Sikker skylagring — Optegnelser gemmes krypteret i hvile og under overførsel, med automatiserede sikkerhedskopier og katastrofegendannelse

Ofte Stillede Spørgsmål

Hvorfor er det vigtigt at gemme tidligere versioner af privatlivspolitikker?

Tilsynsmyndigheder eller domstole kan være nødt til at gennemgå de politikker, der var på plads på et bestemt tidspunkt – for eksempel da et brud fandt sted, da en registrerets personoplysninger blev behandlet, eller da der blev indgivet en klage. Uden historiske versioner kan organisationen ikke påvise, hvilke sikkerhedsforanstaltninger der var på plads. Opbevaring af daterede, versionskontrollerede kopier af al dokumentation om beskyttelse af personlige oplysninger er afgørende for ansvarlighed.

Hvor længe skal PII-behandlingsregistre opbevares?

Standarden foreskriver ikke en specifik opbevaringsperiode. Dette bør defineres i organisationens opbevaringsplan baseret på gældende lovkrav, kontraktlige forpligtelser og forretningsmæssige behov. GDPR specificerer ikke nøjagtige opbevaringsperioder for compliance-registre, men organisationer bør opbevare dem længe nok til at kunne imødekomme tilsynsmyndighedernes undersøgelser og klager fra registrerede, som kan opstå flere år efter, at behandlingen har fundet sted.

Hvilke typer poster dækker denne kontrol?

Dette dækker alle registre relateret til behandling af personoplysninger, herunder: registre over behandlingsaktiviteter, privatlivspolitikker og -procedurer, samtykkeregistre, konsekvensanalyser af databeskyttelse, rapporter om brud, anmodningslogfiler for registrerede, leverandøraftaler, træningsregistre og revisionsrapporter. Den fælles tråd er, at enhver registrering, der bruges til at demonstrere overholdelse af privatlivsregler, bør beskyttes under denne kontrol.

Vores vejledning om krav til revisionsbeviser kortlægger de specifikke registreringer, som revisorer forventer for hver klausul og kontrolområde.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.