Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.4: Informationssikkerhedsroller og -ansvar

Kontrol A.3.4 kræver, at organisationer definerer og tildeler informationssikkerhedsroller og -ansvar i forbindelse med behandling af personoplysninger. Klar ansvarlighed er afgørende for effektiv styring af privatlivets fred.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.4?

Informationssikkerhedsroller og -ansvar i forbindelse med behandling af personoplysninger skal defineres og fordeles i henhold til organisationens behov.

Denne kontrol ligger inden for delte sikkerhedskontroller (Tabel A.3), der gælder for både PII-controllere og PII-processorer. Det bygger på A.3.3 Informationssikkerhedspolitikker ved at sikre, at de politikker, der er defineret der, har et klart ejerskab og ansvarlighed.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.3.4) indeholder detaljeret vejledning om de roller, der bør fastlægges:

  • Kundekontaktpunkt — Udpege en kontaktperson for kunder vedrørende behandling af personoplysninger
  • Primært kontaktpunkt for personoplysninger — Udpege et kontaktpunkt for PII-hovedpersoner (registrerede), hvor de kan udøve deres rettigheder og give udtryk for bekymringer
  • Ejer af privatlivsprogrammet — Udpeg en eller flere personer, der er ansvarlige for privatlivsprogrammet, såsom en databeskyttelsesrådgiver (DPO)
  • Den ansvarlige person bør være uafhængigmed beføjelse til at udføre deres rolle uden interessekonflikter
  • Den ansvarlige person bør have ekspertviden af databeskyttelseslovgivning og -praksis
  • Den ansvarlige person skal fungere som kontaktperson for tilsynsmyndigheder
  • Se også A.3.13: Juridiske og lovgivningsmæssige krav for relaterede krav
  • Se også A.3.15: Uafhængig gennemgang af informationssikkerhed for relaterede krav

Vejledningen stemmer nøje overens med GDPR DPO-krav, men er skrevet i jurisdiktionneutrale termer, hvilket gør den gældende uanset hvilke privatlivslove organisationen opererer under.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.4 kortlægges (via klausul 5.3 i ISO 27701) til GDPR Artikel 37-39 (relaterede bestemmelser, ikke formelt kortlagt i bilag D):

  • artikel 37 — Udpegelse af databeskyttelsesrådgiveren, herunder de omstændigheder, hvorunder en databeskyttelsesrådgiver skal udpeges
  • artikel 38 — Databeskyttelsesrådgiverens stilling, herunder uafhængighed, ressourcer og rapporteringslinje
  • artikel 39 — Databeskyttelsesrådgiverens opgaver, herunder information, rådgivning, overvågning af overholdelse og kontaktperson for tilsynsmyndigheden

Organisationer, der er underlagt GDPR og skal udpege en databeskyttelsesrådgiver, vil opleve, at opfyldelse af A.3.4 i vid udstrækning dækker deres databeskyttelsesforpligtelser, forudsat at den udpegede person opfylder de specifikke GDPR-krav til ekspertise og uafhængighed.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Som en delt sikkerhedskontrol understøtter A.3.4 den bredere ISO 29100 ramme. En klar fordeling af roller og ansvar er en grundlæggende forvaltningsmekanisme, der understøtter ansvarlighedsprincippet og sikrer, at nogen er ansvarlig for alle aspekter af beskyttelsen af ​​personoplysninger.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.4 vil revisorer typisk se efter:

  • Rolledefinitioner — Dokumenterede beskrivelser af alle privatlivsrelaterede roller, herunder omfang, myndighed og rapporteringslinjer
  • Aftaleoptegnelser — Dokumentation for, at roller formelt er blevet tildelt navngivne personer (brev fra udnævnelse af databeskyttelsesrådgiver, bestyrelsesbeslutning osv.)
  • Beviser for uafhængighed — Dokumentation for, at ejeren af ​​privatlivsprogrammet ikke har en interessekonflikt (f.eks. bestemmer de ikke også formålene med behandlingen af ​​personoplysninger)
  • Kompetenceregistre — Dokumentation for den udpegede persons ekspertise inden for databeskyttelse (kvalifikationer, uddannelseshistorik, erfaring)
  • Dokumentation af kontaktpunkt — Offentliggjorte kontaktoplysninger for PII-principper og kunder, tilgængelige via privatlivsmeddelelser eller organisationens hjemmeside

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.3 Politikker for informationssikkerhed Politikker definerer, hvad der skal gøres; roller definerer, hvem der er ansvarlig for at gøre det
A.3.8 Identitetsstyring Rollebaseret adgang er baseret på klart definerede roller og ansvarsområder
A.1.3.3 Information til PII-principaler Bestemmelse af oplysninger for PII-principper Kontaktpunkter for PII-principper skal meddeles som en del af de oplysninger, der gives til dem
A.1.2.9 Registrering af behandling af personoplysninger Behandlingsregistre skal identificere de ansvarlige personer for hver behandlingsaktivitet
A.3.5 Klassificering af oplysninger Informationsejere (en defineret rolle) er ansvarlige for klassificeringsbeslutninger

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket under punkt 6.3.1.1. 2025-versionen konsoliderer vejledningen i en renere struktur under A.3.4/B.3.4 og lægger større vægt på den DPO-ækvivalente rolle. Kravene til uafhængighed, ekspertise og kontakt med tilsynsmyndigheden er nu mere fremtrædende placeret. Se Bilag F korrespondancetabel for den fulde kortlægning.



Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til at definere roller og ansvar inden for privatlivets fred?

ISMS.online giver strukturen til at definere, tildele og spore ansvarlighed på tværs af dit privatlivsprogram:

  • Kortlægning af organisationsstruktur — Definer privatlivsroller med klare beskrivelser, omfang og autoritet, og tildel dem til navngivne personer inden for platformen
  • RACI-matricer — Kortlæg hvem der er ansvarlig, ansvarlig, konsulteret og informeret for hver privatlivskontrol og behandlingsaktivitet
  • Opgavetildeling og sporing — Tildel specifikke privatlivsopgaver til rolleindehavere og spor færdiggørelsen i forhold til deadlines
  • Kompetenceregistre — Vedligehold trænings- og kvalifikationsregistre for privatlivsrolleholdere sammen med deres rolletildelinger
  • Revisionsklar rapportering — Generer rapporter, der viser alle privatlivsroller, deres indehavere og dokumentation for deres kompetence og uafhængighed
  • Opdeling af pligter — Konfigurer adgangskontroller i platformen, så de afspejler uafhængighedskravene for databeskyttelsesrådgiveren/ejeren af ​​privatlivsprogrammet

Ofte Stillede Spørgsmål

Er en databeskyttelsesrådgiver obligatorisk i henhold til ISO 27701?

ISO 27701 kræver "en eller flere personer, der er ansvarlige for privatlivsprogrammet", men pålægger ikke den specifikke titel som databeskyttelsesrådgiver. Hvis GDPR gælder for din organisation, og du opfylder kriterierne i artikel 37 (offentlig myndighed, overvågning i stor skala eller behandling af særlige kategorier i stor skala), er en databeskyttelsesrådgiver obligatorisk. ISO 27701-kontrollen er designet til at opfylde databeskyttelsesrådgiverkrav, hvor de findes, samtidig med at den er fleksibel nok til jurisdiktioner uden et formelt databeskyttelsesrådgiverkrav.

Hvad betyder uafhængighed i praksis?

Den person, der er ansvarlig for privatlivsprogrammet, bør ikke være i en position, hvor deres andre ansvarsområder skaber en interessekonflikt med deres privatlivsrolle. For eksempel vil en Chief Technology Officer, der bestemmer formålene og midlerne til behandling, ikke blive betragtet som uafhængig. Personen med ansvar for privatlivsrollen bør rapportere til den øverste ledelse, have adgang til ressourcer og ikke modtage instruktioner vedrørende udførelsen af ​​deres privatlivsopgaver.

Kan én person have flere privatlivsroller?

Ja, forudsat at der ikke er nogen interessekonflikt, og personen har kapaciteten og kompetencen til at udføre alle tildelte roller. I mindre organisationer er det almindeligt, at én person fungerer som både kundens kontaktpunkt og det primære kontaktpunkt for PII. Rollen som ejer af privatlivsprogrammet bør dog ikke kombineres med roller, der bestemmer formålene med og midlerne til behandling, da dette ville kompromittere uafhængigheden.

DPO'er kan finde en omfattende oversigt over deres ISO 27701-ansvar i vores vejledning til databeskyttelsesrådgivere.

IT-chefer, der balancerer sikkerheds- og privatlivsansvar, bør læse vores CISO-vejledning til ISO 27701:2025.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.