Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.18: Fortroligheds- eller tavshedsaftaler

Kontrol A.3.18 kræver, at organisationer identificerer, dokumenterer og regelmæssigt gennemgår fortroligheds- eller tavshedsaftaler, der beskytter personoplysninger. Disse aftaler udgør en central kontraktmæssig sikkerhedsforanstaltning i henhold til ISO 27701:2025.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.18?

Fortroligheds- eller tavshedsaftaler, der afspejler organisationens behov for beskyttelse af personoplysninger, skal identificeres, dokumenteres, regelmæssigt gennemgås og underskrives af personale og andre relevante interessenter.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og etablerer en grundlæggende kontraktmæssig sikkerhedsforanstaltning: alle, der har adgang til personoplysninger, skal formelt være bundet af fortrolighedsforpligtelser. Dette skaber et klart retsgrundlag for at håndhæve databeskyttelsesansvar på individuelt niveau.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.18) indeholder følgende vejledning:

  • Sørg for, at adgang til personoplysninger er underlagt fortrolighedsforpligtelser — Alle personer, der har adgang til personoplysninger, bør være underlagt en fortrolighedsforpligtelse, uanset om det er gennem en ansættelseskontrakt, en separat fortrolighedsaftale eller en tilsvarende aftale.
  • Angiv forpligtelsesvarighed — Angiv tydeligt, hvor længe fortrolighedsforpligtelserne gælder, hvilket kan strække sig ud over ansættelsens ophør eller kontraktperioden
  • Processorspecifikke krav — For databehandlere bør fortrolighedsaftalen sikre, at medarbejdere og agenter overholder organisationens politikker for datahåndtering og -beskyttelse
  • Se også A.3.19: Rydt skrivebord og klar skærm for relaterede krav

Vejledningen gør det klart, at fortrolighed ikke blot er en kulturel forventning – det skal være en dokumenteret, underskrevet forpligtelse med en defineret varighed, således at forpligtelserne overlever rolleskift, opsigelse af ansættelse og kontraktudløb.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.18 knytter sig til flere GDPR artikler:

  • Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhedsforanstaltninger, herunder beskyttelse mod uautoriseret videregivelse
  • Artikel 28 (3) (b) — Databehandlere skal sikre, at personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovpligtig fortrolighedsforpligtelse.
  • Artikel 38(5) (relateret bestemmelse, ikke formelt kortlagt i bilag D) — Databeskyttelsesansvarlig er bundet af tavshedspligt eller fortrolighed vedrørende udførelsen af ​​sine opgaver

Artikel 28(3)(b) er særlig vigtig, fordi den gør fortrolighedsforpligtelser til et obligatorisk element i databehandleraftaler – ikke valgfri bedste praksis.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 6.10.2.4 (fortroligheds- eller tavshedsaftaler). 2025-udgaven bevarer kernekravene som A.3.18 med en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.18. Vægten på at specificere varigheden af ​​forpligtelser og sikre overholdelse af databehandlermedarbejdernes regler forbliver central. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.18 vil revisorer typisk se efter:

  • Register over fortrolighedsaftaler/nDA'er — En vedligeholdt liste over alle personer, der har underskrevet fortrolighedsaftaler, inklusive underskriftsdato, aftalens version og udløbs- eller revisionsdato
  • Underskrevne aftaler — Kopier af underskrevne aftaler for alt personale og relevante interesserede parter med PII-adgang
  • Aftalens indhold — At aftalerne specificerer omfanget af fortrolighed, de typer af oplysninger, der er omfattet, forpligtelsernes varighed og konsekvenserne af brud
  • Regelmæssig gennemgang af bevismateriale — Optegnelser, der viser, at aftaler gennemgås med planlagte intervaller og opdateres, når kravene ændrer sig
  • Dækning for alle adgangstyper — Aftaler, der dækker fastansatte, entreprenører, vikarer, konsulenter og alle andre parter med PII-adgang

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.9 Adgangsrettigheder Fortrolighedsaftaler skal underskrives, før adgang til personoplysninger gives
A.3.17 Bevidstgørelse og træning Uddannelsen bør styrke de forpligtelser, medarbejderne har forpligtet sig til i deres aftaler
A.3.10 Leverandøraftaler Leverandørkontrakter bør kræve, at leverandørpersonale underskriver fortrolighedsaftaler
A.3.13 Juridiske og kontraktlige krav Fortrolighedsforpligtelser kan være drevet af juridiske eller kontraktlige krav
A.3.14 Beskyttelse af optegnelser Underskrevne aftaler skal opbevares sikkert og opbevares i den relevante periode.

Hvem gælder denne kontrol for?

A.3.18 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige skal sikre, at deres egne medarbejdere og tredjeparter er bundet af fortrolighed. Behandlere har den yderligere forpligtelse i henhold til GDPR Artikel 28(3)(b) for at sikre, at alle personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed, hvilket gør denne kontrol til et kontraktligt krav og ikke blot bedste praksis.



Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til håndtering af fortrolighedsaftaler?

ISMS.online giver praktiske værktøjer til at opretholde fortrolighedsaftaler på tværs af din organisation:

  • Aftaleregister — Vedligehold et centralt register over alle fortroligheds- og NDA-aftaler med underskriveroplysninger, datoer, versioner og gennemgangsplaner
  • Digitale signaturworkflows — Udsted, spor og indsaml underskrevne aftaler elektronisk med automatiske påmindelser om udestående underskrifter
  • Versionsstyring — Når aftaleskabeloner opdateres, skal du spore, hvilke medarbejdere der bruger den aktuelle version, og udløse gensignering, hvor det er nødvendigt.
  • Udløbs- og gennemgangsadvarsler — Automatiske notifikationer, når aftaler nærmer sig deres gennemgangsdato, eller når fortrolighedsperioder er ved at udløbe
  • Forbundet med adgangsstyring — Forbind fortrolighedsaftaler med dit adgangskontrolregister, så adgang til personoplysninger først gives, når aftalerne er på plads

Ofte Stillede Spørgsmål

Hvor længe skal fortrolighedsforpligtelser vare?

Implementeringsvejledningen kræver, at organisationer specificerer varigheden af ​​forpligtelserne. I mange tilfælde strækker fortrolighedsforpligtelser sig ud over ansættelsesforholdets ophør eller kontraktperioden – ofte i to til fem år eller på ubestemt tid for særligt følsomme data. Varigheden bør stå i forhold til de personoplysninger, der er følsomme, og den potentielle skade ved videregivelse. Juridisk rådgivning kan være nødvendig for at sikre håndhævelse i relevante jurisdiktioner.

Kan klausuler i ansættelseskontrakter erstatte separate fortrolighedsaftaler?

Ja, forudsat at ansættelseskontrakten indeholder tilstrækkeligt detaljerede fortrolighedsbestemmelser, der specifikt dækker personoplysninger, angiver varigheden af ​​forpligtelser og er passende for den enkeltes rolle. Mange organisationer inkluderer en generel fortrolighedsklausul i ansættelseskontrakter og supplerer den med en mere detaljeret PII-specifik aftale for personale i højrisikoroller. Nøglen er, at forpligtelserne dokumenteres og underskrives, uanset dokumentformatet.

Hvad sker der, hvis en person nægter at underskrive en fortrolighedserklæring?

Hvis en person nægter at underskrive, og deres rolle kræver PII-adgang, bør de ikke gives adgang, før aftalen er på plads. For nye medarbejdere bør underskrivelse af fortrolighedsaftalen være en betingelse for ansættelse eller i det mindste en betingelse for at modtage PII-adgangsrettigheder. For eksisterende personale bør organisationen samarbejde med HR og juridisk afdeling for at løse situationen, hvilket kan indebære at omplacere personen til en rolle, der ikke kræver PII-adgang.

Dokumentér dine NDA-krav i din Anvendelseserklæring.

Se vores vejledning om krav til revisionsbeviser for hvilke fortrolighedsbeviser revisorer forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.