Hvorfor bør indkøbsteams være opmærksomme på ISO 27701?
Enhver organisation, der deler personoplysninger med en leverandør, påtager sig en risiko. Databeskyttelsesregler (GDPR, LGPD, PDPA og andre) holder dataansvarlige ansvarlige for deres databehandleres privatlivspraksis. Et leverandørbrud bliver dit brud i øjnene af tilsynsmyndigheder og berørte personer. Forståelse af omkostninger ved manglende overholdelse argumenterer for en grundig leverandørevaluering.
ISO 27701-certificering giver et uafhængigt, kontrollerbart signal om, at en leverandør har implementeret et struktureret system til håndtering af databeskyttelse. Men ikke alle certificeringer er lige – omfang, akkreditering og løbende overholdelse af regler er alle vigtige. Denne vejledning hjælper dig med at evaluere, hvad du rent faktisk får.
Hvad skal du kontrollere på et ISO 27701-certifikat?
Et ISO 27701-certifikat er et formelt dokument udstedt af et certificeringsorgan efter en vellykket revision. Her er hvad du skal verificere:
| Certifikatelement | Hvad skal man kontrollere | Hvorfor det betyder noget |
|---|---|---|
| Certificeringsorgan | Er organet akkrediteret af et anerkendt nationalt akkrediteringsorgan (f.eks. UKAS, ANAB, DAkkS)? Se vores vejledning om valg af et certificeringsorgan | Ikke-akkrediterede certificeringer har mindre vægt og lever muligvis ikke op til de krav, som tilsynsmyndighederne forventer. |
| Standard version | Henviser den til ISO 27701:2019 eller ISO 27701:2025? | 2025-udgaven er den aktuelle version. Leverandører af 2019-udgaven bør have en overgangsplan. |
| Angivelse af omfang | Dækker omfanget de tjenester og databehandlinger, der er relevante for din kontrakt? | Et snævert omfang kan udelukke de specifikke behandlingsaktiviteter, du er afhængig af. |
| Rolle (dataansvarlig/databehandler) | Er leverandøren certificeret som PII-ansvarlig, databehandler eller begge dele? | Sørg for, at den certificerede rolle matcher jeres kontraktforhold. |
| Gyldighedsdatoer | Er certifikatet gyldigt? Hvornår er den næste overvågningsrevision? | Udløbne eller bortfaldne certifikater giver ingen garanti. |
| Anvendelseserklæring | Hvilken styrer fra Bilag A er inkluderet eller udelukket? | Udelukkede kontroller kan indikere huller, der er relevante for dine databehandlingskrav. |
Hvordan vurderer du, om omfanget er tilstrækkeligt?
Omfanget er det mest kritiske element at evaluere. En leverandør kan have et gyldigt ISO 27701-certifikat, men har begrænset dets omfang – det dækker kun en del af deres forretning eller en delmængde af deres tjenester.
Spørgsmål til vurdering af omfangets tilstrækkelighed
- Dækker certificeringsomfanget eksplicit den/de tjeneste(r), du anskaffer?
- Omfatter det alle steder, hvor dine data vil blive behandlet, opbevaret eller tilgået?
- Dækker det hele datalivscyklussen – indsamling, behandling, lagring, overførsel og sletning?
- Er underdatabehandlere, der anvendes af leverandøren, omfattet af anvendelsesområdet, eller er de undtaget?
- Hvis leverandøren opererer i flere jurisdiktioner, dækker omfanget så alle relevante jurisdiktioner?
Hvis svaret på et af disse er "nej" eller "uklart", har du brug for yderligere sikkerhed – enten gennem yderligere dokumentation fra leverandøren eller gennem din egen due diligence.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilke spørgsmål bør du stille certificerede leverandører?
Ud over selve certifikatet hjælper et sæt målrettede spørgsmål dig med at forstå leverandørens faktiske modenhed inden for privatliv:
Spørgsmål om ledelsessystemer
- Hvornår var din sidste overvågnings- eller recertificeringsaudit, og hvad var resultaterne?
- Hvor mange afvigelser blev identificeret i din seneste revision? Hvordan blev de løst?
- Hvor ofte udfører I interne revisioner af jeres PIMS?
- Hvem er jeres ledelsesrepræsentant for privatlivets fred, og hvordan rapporterer de til den øverste ledelse?
- Kan du dele dine seneste resultater fra ledelsesevalueringen (redigeret om nødvendigt)?
Operationelle spørgsmål
- Hvordan håndterer I anmodninger om indsigt fra registrerede i data, der behandles på vores vegne?
- Hvad er jeres proces og tidslinje for anmeldelse af brud?
- Hvordan håndterer I ændringer til underdatabehandlere, og hvordan får vi besked?
- Hvilke dataopbevarings- og sletningsprocesser gælder for vores data ved kontraktophør?
- Kan du give dokumentation for din seneste vurdering af privatlivsrisiko?
Tekniske spørgsmål
- Hvordan er vores data isoleret fra andre kunders data?
- Hvilke krypteringsstandarder anvendes i hvile og under transit?
- Hvordan kontrolleres og logges adgangen til vores data?
- Hvor opbevares vores data fysisk, og er der nogen overførsler uden for vores specificerede jurisdiktioner?
Hvad er røde flag i vurderinger af leverandørers privatliv?
Ikke alle leverandører med påstande om beskyttelse af personlige oplysninger fortjener tillid. Vær opmærksom på disse advarselstegn:
| rødt flag | Hvad det antyder |
|---|---|
| Certifikat fra et ikke-akkrediteret organ | Revisionen kan være mangelfuld. Akkreditering sikrer, at certificeringsorganet opfylder internationale standarder for kompetence og upartiskhed. |
| Omfanget dækker ikke dine tjenester | Leverandøren har muligvis certificeret en anden del af sin virksomhed. Dine data kan muligvis ikke drage fordel af det certificerede PIMS. |
| Modvilje mod at dele Anvendelseserklæring | SoA'en viser, hvilke kontroller der er omfattet af omfanget. Afslag på at dele den (selv redigeret) kan indikere ubehagelige undtagelser. |
| Ingen klar proces til anmeldelse af brud | Hvis leverandøren ikke kan formulere sin tidslinje for håndtering af hændelser og eskaleringsprocessen, kan deres PIMS være umodent. |
| Stadig på ISO 27701:2019 uden overgangsplan | 2025-udgaven medfører betydelige ændringer. Leverandører uden en overgangsplan risikerer at ophøre med at tilbyde deres produkter, når 2019-udgaven trækkes tilbage. |
| Kan ikke navngive underdatabehandlere | Hvis en leverandør ikke kan fremvise en aktuel liste over underdatabehandlere, har de muligvis ikke det tilsyn, der kræves i henhold til standarden. |
| Ingen tegn på løbende forbedringer | Et PIMS, der blev oprettet til revisionen, men som ikke forvaltes aktivt, giver aftagende sikkerhed over tid. |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan bør du integrere ISO 27701 i din indkøbsramme?
ISO 27701-certificering fungerer bedst som en del af en struktureret leverandørevalueringsproces, ikke som et separat afkrydsningsfelt:
Trindelt evalueringstilgang
- Niveau 1 (høj risiko): Leverandører, der behandler store mængder af følsomme personoplysninger. Kræver ISO 27701-certificering, gennemgår SoA'en, udfører detaljeret due diligence og planlægger periodisk revurdering.
- Niveau 2 (middel risiko): Leverandører med adgang til PII, men begrænset behandlingsomfang. Accepter ISO 27701-certificering som primær dokumentation, suppleret med målrettede spørgsmål om omfang og hændelsesrespons.
- Niveau 3 (lav risiko): Leverandører med minimal adgang til personoplysninger. Certificering er et positivt signal, men er muligvis ikke obligatorisk. Fokuser på kontraktlig beskyttelse.
Kontraktmæssige overvejelser
Brug leverandørens ISO 27701-certificering som et kontraktligt grundlag, men forstærk det med:
- Et krav om at opretholde certificeringen i hele kontraktperioden
- En forpligtelse til at underrette dig om eventuelle ændringer i certificeringen (reduktioner i omfang, afvigelser, suspensioner)
- Ret til revisionsklausuler i situationer, hvor certifikatet alene er utilstrækkeligt
- Definerede tidsfrister for anmeldelse af brud, der er i overensstemmelse med dine lovgivningsmæssige forpligtelser
- Krav til sletning af data ved opsigelse af kontrakt, med dokumentation
Hvordan styrker jeres egen ISO 27701-certificering indkøb?
Indkøb er en tovejskørsel. Opnå dine egne ISO 27701: 2025 certificering demonstrerer over for leverandører (og tilsynsmyndigheder), at I tager privatlivets fred alvorligt. Det giver også en struktureret ramme for håndtering af leverandørrisici som en del af jeres PIMS.
Inden for ISMS.online, leverandørstyring integreres direkte med dit PIMS – og forbinder leverandørvurderinger med risici, kontroller og revisionsresultater i ét enkelt system. Dette gør evaluering af leverandørers privatlivsbeskyttelse til en administreret, gentagelig proces snarere end en ad hoc-øvelse.
Hvorfor vælge ISMS.online til håndtering af indkøb af privatliv?
- Integreret leverandørstyring: Vurder, overvåg og administrer leverandørers overholdelse af privatlivsregler i jeres PIMS – ikke i et separat regneark.
- Præbygget ISO 27701:2025-rammeværk: standardens krav er kortlagt og klar, herunder leverandørrelaterede kontroller.
- Risikorelaterede leverandørvurderinger: Forbind leverandørrisici med din organisations risikoregister, så huller i leverandørernes privatliv er synlige på ledelsesniveau.
- Bevisspor: Opbevar certifikater, SoA'er, due diligence-optegnelser og korrespondance på ét reviderbart sted.
- Automatiserede gennemgangscyklusser: Indstil påmindelser for certifikatudløb, datoer for overvågningsrevisioner og periodiske revurderinger.
- Støtte til begge sider: Uanset om du evaluerer leverandører eller forbereder dig til din egen certificering, dækker platformen begge scenarier.
- Samarbejdstilgang: Del relevant dokumentation for overholdelse af regler med kunder og partnere direkte fra platformen.
Klar til at styrke din evaluering af privatlivets fred i indkøb? Book en demo at se hvordan ISMS.online gør leverandørvurdering til en del af dit privatlivsstyringssystem.
Ofte Stillede Spørgsmål
Skal vi kræve ISO 27701-certificering fra alle leverandører?
Ikke nødvendigvis. En risikobaseret tilgang er mere praktisk. Kræv certificering fra højrisikoleverandører, der behandler betydelige mængder af personoplysninger. For leverandører med lavere risiko, brug certificering som en positiv indikator sammen med kontraktlig beskyttelse og målrettede due diligence-spørgsmål.
Hvad er forskellen mellem ISO 27701:2019 og 2025 til indkøbsformål?
2025-udgaven kan opnås som en selvstændig certificering uden krav om ISO 27001. Det inkluderer også opdaterede kontroller og forbedret tilpasning til gældende privatlivsregler. Leverandører certificeret til 2019-udgaven skal have en dokumenteret overgangsplan.
Kan en leverandør blive ISO 27701-certificeret, men stadig have huller i privatlivets fred?
Ja. Certificering giver sikkerhed inden for sit definerede omfang, men det garanterer ikke perfektion. En leverandør kan have et snævert omfang, der udelukker visse tjenester, eller deres PIMS dækker muligvis ikke alle de behandlingsaktiviteter, der er relevante for din kontrakt. Derfor er det vigtigt at gennemgå omfangserklæringen og anvendelighedserklæringen.
Hvor ofte skal vi revurdere certificerede leverandører?
Som minimum skal certifikatets gyldighed verificeres årligt (i overensstemmelse med overvågningsrevisionscyklusser). For højrisikoleverandører skal der foretages en mere detaljeret revurdering hver 12.-18. måned, hvor ændringer i omfang, revisionsresultater, hændelseshistorik og opdateringer til underdatabehandlere gennemgås. ISMS.online kan automatisere disse påmindelser om gennemgang i dit PIMS.
Hvad hvis en leverandør nægter at dele sin erklæring om anvendelighed?
Dette er et betydeligt rødt flag. SoA'en er en standardrevisionsartefakt, og det er almindelig praksis at dele den (om nødvendigt redigeret). Hvis en leverandør nægter, skal du anmode om en oversigt over udelukkede kontroller og begrundelsen for hver udelukkelse. Hvis der stadig mangler gennemsigtighed, skal du overveje, om leverandøren lever op til din risikoappetit.
