Hvad fortæller bilag D dig?
Bilag D er et informativt bilag, der knytter ISO 27701:2025-klausuler og -kontroller til artikel 5 til 35 og 44 til 49 (eksklusive artikel 36-43) i EU's generelle databeskyttelsesforordning (GDPR)Det viser, hvordan overholdelse af standardens krav og kontroller kan være relevant for at opfylde GDPR-forpligtelser.
Vigtig: Denne kortlægning er udelukkende vejledende. Det er organisationens ansvar at vurdere sine egne juridiske forpligtelser og beslutte, hvordan de skal overholdes. Implementering af ISO 27701:2025-kontroller garanterer ikke automatisk overholdelse af GDPR, men det giver en struktureret ramme for at demonstrere, at I har opfyldt centrale krav.
For et bredere overblik over de vigtigste ændringer, se Hvad er nyt i ISO 27701:2025For kortlægning til andre frameworks, se Bilag C (ISO 29100) og Bilag E (ISO 27018/29151)For ækvivalenser fra 2019, se Bilag F korrespondancetabel.
Hvordan er klausulerne i ledelsessystemet knyttet til GDPR?
Standardens krav til ledelsessystemer (Klausul 4 til 10) primært relateret til GDPR-artikler om databeskyttelsesansvar, certificering, konsekvensanalyser og høring af tilsynsmyndigheder.
| ISO 27701:2025-klausul | Nøgle GDPR-artikler | Emne |
|---|---|---|
| 4.1 Forståelse af organisationen | Artikel 24, 25, 28, 32 | Databeskyttelsesansvar, adfærdskodekser, certificering |
| 4.2 Interesserede parters behov | Artikel 31, 35 | Samarbejde med tilsynsmyndighed, DPIA-høring |
| 4.3-4.4 Omfang og PIMS | Art. 32 | Sikkerhed ved behandling |
| 5.2 Privatlivspolitik | Art. 24 | Controllerens ansvar |
| 5.3 Roller og ansvarsområder | Artikel 27, 37-39 | Repræsentanter for organisationer uden for EU, udpegelse af databeskyttelsesrådgiver og opgaver |
| 6.1.2-6.1.3 Risikovurdering og -behandling | Artikel 32, 35 | Behandlingssikkerhed, konsekvensanalyse af databeskyttelse |
Hvordan knyttes PII-controllerkontroller (B.1) til GDPR?
PII-controller Implementeringsvejledningen i bilag B kortlægger i vid udstrækning GDPR's kerneprincipper og registreredes rettigheder. Hver B.1-kontrol indeholder implementeringsvejledning til den tilsvarende Bilag A kontrol med samme nummerering (f.eks. er B.1.2.2 vejledningen til A.1.2.2).
| Bilag B Vejledning | Bilag A Kontrol | Nøgle GDPR-artikler | Emne |
|---|---|---|---|
| F.1.2.2 | A.1.2.2 Identificér og dokumenter formål | Artikel 5(1)(b), 32(4) | Formålsbegrænsning |
| F.1.2.3 | A.1.2.3 Identificér det juridiske grundlag | Artikel 5(1)(a), 6(1)-(4), 8, 9, 10, 17, 18, 22 | Lovlighed, særlige kategorier, strafferetlige data, børns samtykke |
| B.1.2.4-5 | A.1.2.4 Fastslå samtykke, A.1.2.5 Indhentning og registrering af samtykke | Artikel 7, 8, 9(2)(a) | Betingelser for samtykke |
| F.1.2.6 | A.1.2.6 Vurdering af indvirkning på privatlivets fred | Art. 35 | DPIA og forudgående høring |
| F.1.2.9 | A.1.2.9 Forarbejdningsregistre | Artikel 5(2), 24, 30 | Ansvarlighed, registrering af behandlingsaktiviteter |
| B.1.3.3-4 | A.1.3.3 Information til PII-principaler, A.1.3.4 Oplysningsgivning | Artikel 11-15, 18, 21 | Gennemsigtighed, information til registrerede |
| F.1.3.5 | A.1.3.5 Tilbagetrækning af samtykke | Artikel 7(3), 13, 14, 18 | Ret til at trække samtykke tilbage, begrænsning af behandling |
| F.1.3.6 | A.1.3.6 Indsigelse mod behandling | Artikel 13, 14, 21 | Ret til indsigelse |
| F.1.3.7 | A.1.3.7 Adgang, rettelse eller sletning | Artikel 5(1)(d), 13, 14, 16, 17 | Ret til indsigt, berigtigelse, sletning |
| F.1.3.9 | A.1.3.9 Levering af kopi af personoplysninger | Artikel 15(3-4), 20 | Ret til dataportabilitet |
| F.1.3.10 | A.1.3.10 Håndtering af anmodninger | Artikel 12(3-6), 15 | Procedurer for udøvelse af rettigheder |
| F.1.3.11 | A.1.3.11 Automatiseret beslutningstagning | Artikel 13, 14, 22 | Automatiseret individuel beslutningstagning, profilering |
| B.1.4.2-3 | A.1.4.2 Begrænsning af indsamling, A.1.4.3 Begræns behandling | Artikel 5(1)(bc), 25(2) | Formålsbegrænsning, dataminimering, databeskyttelse gennem design |
| F.1.4.6 | A.1.4.6 Afidentifikation og sletning | Kunst. 5(1)(ce), 6(4)(e), 11, 32 | Dataminimering, lagringsbegrænsning, pseudonymisering |
| F.1.5.2 | A.1.5.2 Grundlag for international overførsel | Artikel 15, 30, 44-49 | Overførsler til tredjelande, tilstrækkelighed, sikkerhedsforanstaltninger, bindende selskabsregler, undtagelser |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan knyttes PII-processorkontroller (B.2) til GDPR?
PII-processor Implementeringsvejledningen følger den samme nummereringskonvention. Hver B.2-reference svarer til dens tilsvarende A.2-kontrol.
| Bilag B Vejledning | Bilag A Kontrol | Nøgle GDPR-artikler | Emne |
|---|---|---|---|
| F.2.2.2 | A.2.2.2 Kundeaftale | Artikel 28, 35 | Databehandlerforpligtelser, DPIA-support |
| F.2.2.3 | A.2.2.3 Organisationens formål | Artikel 5(1)(ab), 28(3)(a), 29, 32 | Behandling under den dataansvarliges myndighed |
| F.2.2.4 | A.2.2.4 Markedsføring og reklame | Kunst. 7(4) | Samtykke ikke betinget af forkyndelse |
| F.2.2.7 | A.2.2.7 Forarbejdningsregistre | Artikel 30(2-5) | Registrering af behandlingsaktiviteter (databehandler) |
| F.2.3.2 | A.2.3.2 Forpligtelser over for PII-opdragsgivere | Artikel 15(3), 17(2), 28(3)(e) | Hjælp den dataansvarlige med anmodninger fra den registrerede |
| F.2.4.3 | A.2.4.3 Returnering eller bortskaffelse af personoplysninger | Artikel 28(3)(g), 30(1)(f) | Sletning eller returnering efter endt tjeneste |
| F.2.5.2 | A.2.5.2 Internationale overførsler | Artikel 44, 46, 48, 49 | Overførsler til tredjelande (databehandler) |
| F.2.5.7 | A.2.5.7 Oplysninger om underleverandører | Kunst. 28(2) | Underdatabehandlerautorisation |
| F.2.5.8 | A.2.5.8 Inddragelse af underleverandør | Artikel 28(2-4) | Kontraktkrav for underdatabehandlere |
| F.2.5.9 | A.2.5.9 Skift af underleverandør | Kunst. 28(2) | Meddelelse om ændring af underdatabehandler |
Hvordan knyttes delte sikkerhedskontroller (B.3) til GDPR?
delte sikkerhedskontroller primært relateret til GDPR artikel 5(1)(f) (integritet og fortrolighed) og artikel 32 (behandlingssikkerhed). Hver B.3-reference svarer til dens matchende A.3-kontrol.
| Bilag B Vejledning | Bilag A Kontrol | Nøgle GDPR-artikler | Emne |
|---|---|---|---|
| B.3.5-9 | A.3.5 Klassificering, A.3.6 Mærkning, A.3.7 Overførsel, A.3.8 Identitet, A.3.9 Adgang | Artikel 5(1)(f) | Princippet om integritet og fortrolighed |
| B.3.10, B.3.13 | A.3.10 Leverandøraftaler, A.3.13 Juridiske krav | Artikel 28, 32 | Databehandlerforpligtelser, behandlingssikkerhed |
| B.3.11-12 | A.3.11 Hændelseshåndtering, A.3.12 Hændelsesrespons | Kunst. 33-34 | Underretning om brud (til tilsynsmyndighed og registrerede) |
| B.3.14, B.3.16 | A.3.14 Beskyttelse af optegnelser, A.3.16 Overholdelse | Artikel 5(2), 24, 32 | Ansvarlighed, complianceverifikation |
| B.3.19-25 | A.3.19 Ryd skrivebord, A.3.20 Lagringsmedier, A.3.21 Bortskaffelse, A.3.22 Endepunkter, A.3.23 Godkendelse, A.3.24 Sikkerhedskopiering, A.3.25 Logføring | Artikel 5(1)(f), 32(1)(a) | Integritet, fortrolighed, kryptering og pseudonymisering |
| F.3.26 | A.3.26 Brug af kryptografi | Artikel 32(1)(a) | Kryptering og pseudonymisering |
| B.3.27-29 | A.3.27 Sikker udvikling, A.3.28 Applikationssikkerhed, A.3.29 Systemarkitektur | Kunst. 25(1) | Databeskyttelse gennem design |
| F.3.31 | A.3.31 Testoplysninger | Artikel 5(1)(f), 32 | Beskyttelse af personoplysninger i testmiljøer |
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan bør du bruge denne kortlægning i praksis?
Kortlægningen i bilag D er et udgangspunkt, ikke en tjekliste til overholdelse af regler. Sådan bruger du den effektivt:
- Gab analyse: Hvis du har implementeret ISO 27701:2025-kontroller, skal du bruge kortlægningen til at identificere, hvilke GDPR-artikler du allerede har adresseret, og hvor der stadig er mangler.
- Revisionsbeviser: Henvis til kortlægningen, når du demonstrerer over for tilsynsmyndigheder eller revisorer, at dit PIMS understøtter GDPR-overholdelse
- Rapportering på tværs af rammer: Brug kortlægningen til at producere samlede compliance-rapporter, der viser, hvordan ét sæt kontroller opfylder flere lovgivningsmæssige krav
- DPIA-understøttelse: Kortlægningen til artikel 35 hjælper dig med at forbinde dine vurderinger af indvirkning på privatlivets fred (kontrol A.1.2.6) i henhold til GDPR's DPIA-krav
- Overgangsplanlægning: Hvis du går fra ISO 27701:2019, skal du bruge kortlægningen sammen med overgangsvejledning at kontrollere GDPR-dækningen under den nye kontrolstruktur
Husk, at overholdelse af GDPR indebærer forpligtelser, der går ud over, hvad en enkelt standard dækker (f.eks. udpegelse af en ledende tilsynsmyndighed, reaktion på håndhævelsesforanstaltninger). Kortlægningen viser, hvor ISO 27701:2025 yder struktureret support, ikke hvor overholdelse er garanteret.
Hvorfor vælge ISMS.online for tilpasning til GDPR og ISO 27701?
ISMS.online hjælper dig med at administrere begge frameworks på én platform:
- Integrerede compliance-visninger — Se, hvordan ISO 27701:2025-kontrollerne er knyttet til GDPR-forpligtelser i ét dashboard
- Bevisbibliotek — Vedhæft den samme dokumentation (politikker, DPIA'er, procedurer for brud på data) til både ISO 27701-kontroller og GDPR-krav
- Reguleringssporing — Hold dig opdateret om GDPR-håndhævelsestendenser og opdater dit PIMS i overensstemmelse hermed
- Datakortlægning — Dokumentér dine behandlingsaktiviteter, retsgrundlag og internationale overførsler i et struktureret register
- Håndtering af brud — Spor hændelser fra detektion til anmeldelse, i overensstemmelse med både artikel 33/34 og kontrolforanstaltninger A.3.11/A.3.12
Ofte Stillede Spørgsmål
Betyder implementeringen af ISO 27701:2025, at jeg er GDPR-kompatibel?
Ikke automatisk. ISO 27701:2025 leverer et ledelsessystemrammeværk, der understøtter mange GDPR-krav, men GDPR-overholdelse afhænger af dine specifikke behandlingsaktiviteter, lovgrundlag og hvordan du implementerer og driver dine kontroller. Kortlægningen i bilag D er vejledende og ikke et overholdelsescertifikat. For et detaljeret overblik over, hvordan standarden understøtter GDPR, se Vejledning til overholdelse af GDPR.
Hvilke GDPR-artikler er mest omfattende dækket af ISO 27701:2025?
Artikel 5 (principper), 6 (retsgrundlag), 12-22 (den registreredes rettigheder), 25 (databeskyttelse gennem design), 28 (databehandlerforpligtelser), 30 (registrering af behandlinger), 32 (sikkerhed), 33-34 (meddelelse om brud) og 44-49 (internationale overførsler) har alle omfattende tilpasninger til ISO 27701:2025-kontroller. controllerkontroller yde den bredeste dækning, der tager højde for de registreredes rettigheder, formålsbegrænsning og krav til retsgrundlag.
Har GDPR-kortlægningen ændret sig siden 2019-udgaven?
Kortlægningen er blevet opdateret for at afspejle den nye kontrolnummerering (Bilag A/B-struktur i stedet for klausul 6-8), men de underliggende GDPR-artikler, der er dækket, forbliver stort set ens. Kortlægningen for 2025 er mere detaljeret på nogle områder på grund af det omstrukturerede kontrolsæt. Se fuld sammenligning af ændringer for yderligere oplysninger.
Hvad er forholdet mellem bilag A og bilag B?
Bilag A definerer privatlivskontrollerne (hvad du skal gøre), og bilag B indeholder den tilsvarende implementeringsvejledning (hvordan du gør det). De deler den samme nummerering: A.1.2.2 er kontrollen, og B.1.2.2 er dens vejledning. Begge bilag er normative i 2025-udgaven. Kortlægningen i bilag D refererer til B-nummereringen, fordi den knytter implementeringsvejledningen til GDPR-artikler, men hver B-kontrol har en direkte A-modpart.
For praktisk vejledning om implementering af kontrol med grænseoverskridende overførsler, se vores vejledning til grænseoverskridende dataoverførsler.
Forstå det fulde økonomiske billede i vores analyse af omkostninger ved manglende overholdelse vs. certificering.
Databeskyttelsesrådgivere kan finde et fokuseret perspektiv på disse forpligtelser i vores vejledning til databeskyttelsesrådgivere.
