Hvad er ISO 27701:2025?
ISO 27701:2025 er den internationale standard for håndtering af personoplysninger. Den er udgivet af International Organization for Standardization og definerer kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et system til håndtering af personoplysninger (PIMS).
I praksis giver ISO 27701 en struktureret, auditerbar ramme for styring af, hvordan din organisation indsamler, behandler, deler og beskytter personoplysninger. Certificering fra et akkrediteret organ viser kunder, tilsynsmyndigheder og partnere, at jeres privatlivspraksis lever op til en internationalt anerkendt benchmark.
2025-udgaven er en betydelig opdatering fra den oprindelige 2019-version. Den vigtigste ændring, som bestyrelsen skal forstå, er, at ISO 27701:2025 nu fungerer som en selvstændig standardOrganisationer behøver ikke længere ISO 27001-certificering som en forudsætning, hvilket reducerer adgangsbarrieren og muliggør en fokuseret investering i privatlivsstyring. For en detaljeret sammenligning af ændringerne, se vores 2025 vs 2019 sammenligning.
Hvorfor er dette vigtigt for bestyrelsen?
Privatlivsstyring er en bekymring på bestyrelsesniveau af fire strategiske årsager:
1. Reguleringsrisikoen stiger
Databeskyttelsesreguleringen er blevet betydeligt udvidet i omfang og håndhævelse. GDPR-bøder kan nå op på 20 millioner euro eller 4 % af den globale omsætning. Uden for EU har over 150 lande nu databeskyttelseslovgivning, og håndhævelsesforanstaltningerne accelereres år for år. Bestyrelsen har en fiduciær pligt til at sikre, at organisationen håndterer denne risiko effektivt.
2. Privatliv er en konkurrencemæssig differentiator
Virksomhedskunder og offentlige organisationer kræver i stigende grad, at leverandører dokumenterer privatlivscertificeringer, før de tildeler kontrakter. ISO 27701-certificering opfylder disse indkøbskrav og beskytter og muliggør direkte indtægter.
3. Interessenternes forventninger stiger
Kunder, medarbejdere og investorer forventer, at organisationer håndterer personoplysninger ansvarligt. Manglende beskyttelse af personlige oplysninger skader brandets omdømme og undergraver tilliden. Certificering giver en synlig og troværdig sikkerhed for, at privatlivets fred styres systematisk.
4. Omkostningerne ved passivitet vokser
Organisationer uden struktureret privatlivsstyring står over for højere omkostninger ved brud på datasikkerheden, øgede forsikringspræmier, længere salgscyklusser og større myndighedskontrol. Se vores analyse af omkostninger ved manglende overholdelseKløften mellem førende og bagefter inden for privatlivspolitik vokser, og certificering er ved at blive den forventede norm snarere end undtagelsen.
Hvad kræver standarden?
ISO 27701:2025 er struktureret omkring ledelsessystemer krav (Klausul 4 til 10) og privatlivskontroller (Bilag APå bestyrelsesniveau er de vigtigste krav:
| Krav | Hvad det betyder | Bestyrelsesinddragelse |
|---|---|---|
| Lederskabsforpligtelse | Topledelsen skal demonstrere engagement i privatlivets fred og afsætte tilstrækkelige ressourcer | Godkend privatlivspolitik, tildel ansvarlighed, fordel budget |
| Risikostyring | Identificer, vurder og behandl systematisk privatlivsrisici | Gennemgå de vigtigste privatlivsrisici og risikoappetit på bestyrelsesniveau |
| Implementering af kontroller | Indfør organisatoriske og tekniske kontroller for at beskytte personoplysninger | Sørg for, at der er ressourcer til rådighed til implementering af kontrolforanstaltninger |
| Ydelsesovervågning | Mål, revider og gennemgå effektiviteten af privatlivsstyring | Modtag regelmæssige rapporter om privatlivseffektivitet fra ledelsen |
| Kontinuerlig forbedring | Identificer og implementer forbedringer baseret på revisionsresultater og hændelser | Støt en kultur med løbende forbedringer af privatlivets fred |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken investering er nødvendig?
Investeringen afhænger af organisationens størrelse, nuværende modenhed inden for privatlivsbeskyttelse og om I allerede har ISO 27001. Hovedtal for en mellemstor organisation (100 til 500 medarbejdere):
| Investeringsområde | Typisk rækkevidde | Noter |
|---|---|---|
| Implementering (medarbejdertid og platform) | £ 25,000 - £ 70,000 | Nedre ende ved udvidelse af eksisterende ISO 27001 |
| Certificeringsrevision | £ 6,000 - £ 15,000 | Fase 1 og fase 2 kombineret |
| Årlig vedligeholdelse (overvågningsrevisioner og platform) | £ 10,000 - £ 25,000 | Løbende årlige omkostninger |
| I alt et år | £ 31,000 - £ 85,000 |
Disse omkostninger bør vurderes i forhold til fordelene: reduceret regulatorisk risiko, hurtigere salgscyklusser, lavere omkostninger til brud på sikkerheden, forsikringsbesparelser og driftsmæssig effektivitetsgevinst. De fleste organisationer opnår et positivt afkast inden for 12 til 18 måneder. For en fuldstændig økonomisk ramme, se vores Fordeling af certificeringsomkostninger og Guide til business case om ROI.
Hvad er tidslinjen?
En typisk implementeringstidslinje for en mellemstor organisation:
| Fase | Varighed | Aktiviteter |
|---|---|---|
| Gap-analyse | 2 4 uger til | Vurder nuværende privatlivspraksis i forhold til ISO 27701-krav via en struktureret mangelanalyse |
| Implementering | 3 til 9 måned | Etablere PIMS, implementere kontroller, oprette dokumentation, uddanne personale |
| Driftsperiode | 2 til 3 måned | Kør PIMS, udfør intern revision, afhold ledelsesgennemgang |
| Certificeringsrevision | 4 6 uger til | Fase 1 (dokumentationsgennemgang) og fase 2 (implementeringsvurdering) |
| I alt til certifikat | 6 til 14 måned |
Organisationer, der allerede har ISO 27001, kan opnå certificering hurtigere, fordi ledelsessystemets infrastruktur allerede er på plads. Ved at bruge en platform som ISMS.online accelererer processen yderligere ved at tilbyde præbyggede rammer og guidet implementering.
Hvilke beslutninger skal bestyrelsen træffe?
For at komme videre med ISO 27701:2025 bør bestyrelsen overveje følgende beslutninger:
- Godkend investeringen — Afsæt budgettet til implementering, værktøjer og certificering
- Tildel den ledende direktørs ansvar — Udnævn et bestyrelsesmedlem eller en ledende medarbejder som privatlivssponsor med ansvar for PIMS-tilsyn. DPO vil typisk koordinere den daglige drift
- Indstil tidslinjen — Aftal en måldato for certificering baseret på forretningsprioriteter og tilgængelighed af ressourcer
- Bestem fremgangsmåden — Selvstændig ISO 27701-certificering eller integreret med ISO 27001 (hvis allerede indehaves)
- Tildel ressourcer — Sørg for, at der er personaletid til rådighed til implementeringen, især fra IT (anført af CISO), juridiske, HR- og operationelle teams
- Etabler rapporteringskadence — Aftal, hvor ofte og i hvilket format privatlivsstyring skal rapporteres til bestyrelsen
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan hænger ISO 27701 sammen med GDPR-overholdelse?
ISO 27701:2025 er udviklet til at understøtte overholdelse af databeskyttelsesregler verden over, med særlig overensstemmelse med GDPR. Standarden omfatter Bilag D, som knytter hver kontrol til den tilsvarende GDPR-artikel.
Hovedpunkter for bestyrelsen:
- ISO 27701 certificering er ikke en formel GDPR-certificering i henhold til artikel 42, men den er bredt anerkendt af tilsynsmyndighederne som bevis på god praksis
- Certificering demonstrerer ansvarlighed princippet (GDPR artikel 5(2)) gennem dokumenteret, kontrollerbar privatlivsstyring
- Standarden omhandler centrale GDPR-forpligtelser, herunder registreredes rettigheder, databeskyttelse gennem design, anmeldelse af brud og internationale overførsler
- Tilsynsmyndighederne har angivet, at strukturerede systemer til styring af privatlivets fred er en positiv faktor, når man vurderer overholdelse af regler og fastlægger håndhævelsesforanstaltninger.
Hvorfor vælge ISMS.online for ISO 27701:2025?
ISMS.online leverer platformen og ekspertisen til effektivt at opnå certificering:
- Accelereret implementering — Færdigbygget ISO 27701:2025-ramme betyder, at dit team begynder at implementere kontroller fra dag ét, ikke at bygge infrastruktur
- Reducerede omkostninger — Indbygget vejledning og skabeloner reducerer afhængigheden af eksterne konsulenter og holder omkostningerne inden for budgettet
- Tydelig statussporing — Dashboards viser certificeringsparathed med et hurtigt blik, hvilket giver bestyrelsen tillid til, at projektet er på rette spor
- Altid klar til revision — Centraliseret bevismateriale og dokumentation betyder ingen forberedelse i sidste øjeblik til overvågningsrevisioner
- Understøttelse af flere standarder — Administrer ISO 27701 sammen med ISO 27001 og andre standarder fra én platform, hvilket maksimerer effektiviteten
- Ekspertstøtte — Adgang til compliance-ekspertise, når dit team har brug for vejledning i komplekse krav
- Bevist track record — Tusindvis af organisationer verden over bruger ISMS.online at opnå og opretholde ISO-certificering
Ofte Stillede Spørgsmål
Er ISO 27701-certificering obligatorisk?
ISO 27701-certificering er frivillig. Der er i øjeblikket ingen regulering, der pålægger det. Det kræves dog i stigende grad som en kontraktlig betingelse af virksomhedskunder og i forbindelse med offentlige indkøb. Organisationer, der opnår certificering, opnår en konkurrencefordel og styrker deres overholdelse af lovgivningen. Tendensen mod obligatoriske krav til privatlivscertificering i forbindelse med indkøb accelererer på tværs af alle sektorer.
Hvad sker der, hvis vi ikke opnår certificering?
Der er ingen sanktioner for ikke at certificere, men alternativomkostningerne er betydelige. Uden certificering står organisationen over for længere salgscyklusser, potentiel udelukkelse fra kontrakter, der kræver databeskyttelsesoplysninger, højere forsikringspræmier og reduceret evne til at demonstrere ansvarlighed over for myndighederne. Efterhånden som flere konkurrenter opnår certificering, vokser den kommercielle ulempe ved ikke at certificere.
Hvor længe varer certificeringen?
Et ISO 27701-certifikat er gyldigt i tre år, forudsat at årlige overvågningsrevisioner er gennemført med succes. Ved udgangen af treårscyklussen kræves en recertificeringsrevision for at forny certifikatet. Denne løbende sikringsmodel betyder, at organisationen skal vedligeholde sit privatlivsstyringssystem løbende og ikke kun opnå compliance én gang.
Har vi brug for ISO 27001 først?
Nej. ISO 27701:2025 kan være uafhængigt certificeret uden ISO 27001. Men hvis du allerede har ISO 27001, giver integration af de to standarder større effektivitet gennem fælles processer, kombinerede revisioner og et samlet ledelsessystem. Valget afhænger af dine nuværende certificeringer, kundekrav og strategiske prioriteter.
Hvilket bestyrelsestilsyn er nødvendigt efter certificering?
Efter certificering bør bestyrelsen modtage regelmæssige rapporter om forvaltning af privatlivspolitikken (typisk kvartalsvis), der dækker centrale risikoindikatorer, hændelsestendenser, revisionsresultater og certificeringsstatus. Standarden kræver ledelsesgennemgang mindst en gang årligt, og bedste praksis er at inkludere privatliv sammen med informationssikkerhed i bestyrelsens regelmæssige risikorapportering. Tidsforpligtelsen er beskeden: gennemgang af et dashboard og godkendelse af eventuelle strategiske ændringer i privatlivsprogrammet.
