Hvilken dokumentation forventer revisorer for ISO 27701:2025?
ISO 27701:2025-certificeringsrevisioner følger en struktureret, evidensbaseret tilgang. Revisorer tager ikke bare dit ord for det – de har brug for dokumenteret bevis for, at dit Privacy Information Management System (PIMS) opfylder alle gældende krav i standarden.
Beviser falder i tre brede kategorier:
- Dokumentation — Politikker, procedurer, procesdokumenter, risikovurderinger og erklæring om anvendelighed
- Optegnelser og logfiler — Mødereferat, træningsregistre, revisionsrapporter, hændelseslogge, databehandlingsregistre og logfiler for korrigerende handlinger
- Dokumenteret praksis — Interviews med personale, live systemgennemgange og observation af processer i aktion
2025-udgaven er nu en uafhængig certificerbar standard, hvilket betyder, at din dokumentationspakke skal dække hele Krav til ledelsessystemer i afsnit 4 til 10 samt den gældende Bilag A kontrollerer.
Hvilken dokumentation kræves for hvert klausulområde?
Hvert afsnit i ISO 27701:2025 kræver specifikke typer bevismateriale. Tabellen nedenfor viser de vigtigste beviselementer. revisors kigge efter i forhold til hver klausul i ledelsessystemet.
| Klausul | Miljø | Nødvendige nøglebeviser |
|---|---|---|
| Punkt 4 | Organisationens kontekst | Omfangserklæring, analyse af interesserede parter, kontekst for behandling af personoplysninger, dokumentation af PIMS-grænser |
| Punkt 5 | Leadership" (virkelig menneskelig ledelse) | Privatlivspolitik (underskrevet af topledelsen), rolle- og ansvarsmatrix, ledelsens forpligtelsesregistre |
| Punkt 6 | Planlægning | Metode til risikovurdering af privatlivets fred, risikoregister, risikohåndteringsplan, anvendelighedserklæring, privatlivsmål |
| Punkt 7 | Støtte | Kompetenceregistre, træningslogbøger, dokumentation for oplysningsprogrammer, dokumenteret procedure for informationskontrol |
| Punkt 8 | Produktion | Operationelle planlægningsregistre, resultater af risikovurdering, dokumentation for implementering af risikobehandling |
| Punkt 9 | Præstations evaluering | Overvågnings- og måleresultater, interne revisionsrapporter, ledelsesgennemgangsreferater |
| Punkt 10 | Forbedring | Registrering af afvigelser og korrigerende handlinger, dokumentation for løbende forbedringsaktiviteter |
Ud over ledelsessystemets klausuler vurderer revisorer også dokumentation for hver bilag A-kontrol, som du har erklæret relevant i din AnvendelseserklæringDette omfatter controllerspecifikke kontroller, processorspecifikke kontroller og delte sikkerhedskontroller.
Hvordan er beviskravene i fase 1 og fase 2 forskellige?
ISO 27701:2025-certificeringsrevisionen er opdelt i to faser, hver med forskellige forventninger til dokumentation:
Fase 1: Dokumentationsgennemgang
Fase 1-revisionen fokuserer på, om dit dokumenterede PIMS er tilstrækkeligt. Revisorerne gennemgår:
- Dit PIMS-omfang og -grænser
- Privatlivspolitik og privatlivsmål
- Risikovurderingsmetode og risikohåndteringsplan
- Anvendelseserklæring
- Vigtige procedurer og procesdokumentation
- Intern revisionsprogram og ledelsens evalueringsplan
Fase 1 er primært en parathedskontrol. Revisoren bekræfter, at din dokumentation er tilstrækkeligt komplet til at gå videre til fase 2, og identificerer eventuelle områder, der kræver opmærksomhed inden implementeringsrevisionen.
Fase 2: Implementeringsvurdering
Fase 2 er den fulde implementeringsrevision. Revisorer verificerer, at dit PIMS ikke blot er dokumenteret, men rent faktisk fungerer. Dokumentation på dette stadie omfatter:
- Færdige risikovurderinger med aktuelle resultater
- Træningsjournaler, der viser, at personalet er blevet trænet og evalueret
- Interne revisionsrapporter med adresserede resultater
- Referat af ledelsesgennemgang med registrerede beslutninger
- Hændelsesrapporter (selvom der ikke er forekommet hændelser, skal processen dokumenteres)
- Optegnelser over håndtering af anmodninger fra den registrerede
- Leverandør- og databehandlerstyringsregistre
For yderligere oplysninger om den fulde certificeringsprocessen, se vores certificeringsvejledning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad er de mest almindelige evidenshuller?
Visse mangler i evidensen optræder gentagne gange i ISO 27701:2025-revisioner. At vide, hvad der fanger organisationer, hjælper dig med at undgå de samme fejl.
| Fælles hul | Hvorfor det sker | Sådan løses det |
|---|---|---|
| Ingen beviser for ledelsesgennemgang | Gennemgang sker uformelt uden referat | Planlæg formelle evalueringer med dagsorden, deltagere og registrerede beslutninger |
| Træningsregistre mangler eller er ufuldstændige | Træning finder sted, men logges ikke | Brug et træningsstyringssystem, der sporer gennemførelse og kompetencevurdering |
| Risikovurdering ikke aktuel | Indledende vurdering udført, men ikke opdateret | Planlæg regelmæssige evalueringer og opdateringer efter væsentlige ændringer |
| Ingen intern revisionsbeviser | Organisationen er afhængig af eksterne konsulenter og springer interne revisioner over | Udfør mindst én fuld intern revisionscyklus før certificeringsrevisionen |
| Manglende begrundelser for anvendelighedserklæring | Kontroller markeret som ikke relevant uden forklaring | Dokumentér begrundelsen for hver udelukkelse i SoA'en |
| Leverandøraftaler mangler privatlivsklausuler | Kontrakter er fra før implementeringen af PIMS | Gennemgå og opdater leverandørkontrakter, så de inkluderer databehandlings- og privatlivsvilkår |
| Hændelsesrespons ikke testet | Der er ikke opstået hændelser, så processen er ikke testet | Lav bordøvelser og registrer resultaterne |
Hvordan skal du organisere din dokumentationspakke?
En velorganiseret dokumentationspakke gør revisioner mere gnidningsløse og reducerer risikoen for fund forårsaget af beviser, der findes, men ikke kan lokaliseres. Følg disse principper:
- Kortlæg bevismateriale til krav — Opret en evidensmatrix, der forbinder hver klausul og bilag A-kontrol med de specifikke dokumenter, optegnelser og skærmbilleder, der demonstrerer overholdelse
- Brug ensartede navngivningskonventioner — Navngiv dokumenter tydeligt, så revisorer kan identificere dem uden din hjælp (f.eks. PIMS-Risikovurdering-2026-Q1.pdf)
- Bevar versionskontrol — Hvert dokument skal vise dets version, godkendelsesdato og ejer. Revisorer vil kontrollere, at du arbejder ud fra aktuelle, godkendte dokumenter.
- Hold optegnelser tidsstemplet — Træningslogfiler, mødereferater og revisionsrapporter skal vise, hvornår de fandt sted. Udaterede optegnelser er vanskelige for revisorer at acceptere.
- Centraliser lagring — Spredt bevismateriale på tværs af e-mailindbakker, delte drev og individuelle bærbare computere skaber risiko. Brug en enkelt, kontrolleret placering
Organisationer, der afstemmer deres evidens med Bilag D GDPR-kortlægning kan også bruge den samme bevispakke til at demonstrere regulatory-compliance, hvilket skaber effektivitet på tværs af både privatlivscertificering og databeskyttelsesforpligtelser.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan understøtter ISMS.online styring af revisionsbeviser?
ISMS.online er specialbygget til at hjælpe organisationer med at indsamle, organisere og vedligeholde den dokumentation, der er nødvendig for ISO 27701:2025-certificering. Nøglefunktioner omfatter:
- Præbygget evidensramme — Beviskrav er kortlagt for hver klausul og bilag A-kontrol, så du ved præcis, hvad du har brug for, før revisoren ankommer
- Dokumenthåndtering med versionskontrol — Upload, godkend og spor alle politikker, procedurer og støttedokumenter med komplette revisionsspor
- Risikostyring — Udfør og registrer risikovurderinger direkte i platformen med risikoregistre, der linker til behandlingsplaner og kontrolimplementeringer
- Træning og bevidsthedsopfølgning — Tildel træning, spor færdiggørelse og registrer kompetencevurderinger med tidsstemplet dokumentation
- Intern revisionsstyring — Planlæg, udfør og registrer interne revisioner med resultater knyttet til korrigerende handlinger
- Støtte til ledelsesgennemgang — Strukturerede evalueringsskabeloner, der indsamler input, beslutninger og handlinger i et format, som revisorer forventer
- Leverandørstyring — Spor databehandleraftaler, udfør due diligence og vedligehold tilsynsregistre
I stedet for at bygge en evidenspakke fra bunden, ISMS.online giver dig en færdig struktur, der akkumulerer bevismateriale, mens du arbejder dig gennem implementeringen. Når din revision finder sted, er dit bevismateriale allerede organiseret og tilgængeligt.
For at forstå det fulde omfang af, hvad dit PIMS skal dække, kan du se vores guide til i gang med implementeringen.
Hvorfor vælge ISMS.online til styring af revisionsbeviser?
- Beviser kortlagt til standarden — Hver klausul og bilag A-kontrol har et tilknyttet beviskrav, så intet bliver overset
- Automatiserede revisionsspor — Ændringer i dokumenter, risikovurderinger og handlinger logges automatisk med tidsstempler og brugerattribution
- Centraliseret, revisorklar dokumentation — Alt, hvad din revisor har brug for, er samlet ét sted, tilgængeligt via sikre, rollebaserede tilladelser
- Forudkonfigurerede skabeloner — Politikker, risikovurderingsmetoder og SoA-skabeloner, der er tilpasset ISO 27701:2025, reducerer opsætningstiden
- Sporing af korrigerende handlinger — Forbind afvigelser med korrigerende handlinger med forfaldsdatoer, ejere og statussporing
- Overholdelsesdashboards i realtid — Se din parathedsstatus med et hurtigt blik, identificer mangler og prioriter arbejdet inden revisionen
- Tillid fra tusindvis af organisationer — ISMS.online støtter virksomheder af alle størrelser i at opnå og opretholde ISO-certificering
Ofte Stillede Spørgsmål
Hvad er det minimumsbevis, der kræves for ISO 27701:2025-certificering?
Som minimum skal du bruge dokumenterede politikker, en risikovurdering og behandlingsplan, en erklæring om anvendelighed, resultater af interne revisioner, referater af ledelsens gennemgang og optegnelser, der viser, at dine bilag A-kontroller fungerer. Det nøjagtige omfang afhænger af din organisation og de kontroller, du har erklæret gældende.
Hvor langt tilbage skal revisionsbeviser gå?
Ved indledende certificering ønsker revisorer typisk at se mindst tre måneders operationel dokumentation, herunder en komplet intern revisionscyklus og mindst én ledelsesgennemgang. Ved overvågningsrevisioner bør dokumentationen dække perioden siden den sidste revision.
Kan vi bruge digital dokumentation, eller skal den udskrives?
Digitale beviser accepteres fuldt ud og foretrækkes ofte af revisorer. Skærmbilleder, systemeksporter, tidsstemplede optegnelser og dokumenter gemt på platforme som f.eks. ISMS.online er alle gyldige. Hovedkravet er, at bevismaterialet er autentisk, tilgængeligt og versionskontrolleret.
Hvad sker der, hvis revisoren finder manglende beviser?
Manglende dokumentation resulterer typisk i en afvigelseskonstatering. Mindre afvigelser giver dig mulighed for at fremlægge dokumentationen inden for en aftalt tidsramme (normalt 90 dage). Større afvigelser kan kræve et opfølgende revisionsbesøg, før certificering kan gives.
Har vi brug for separat dokumentation for ISO 27701 og ISO 27001?
Hvis du har begge certificeringer, overlapper meget af ledelsessystemets dokumentation hinanden (risikostyring, intern revision, ledelsesgennemgang). ISO 27701 kræver dog yderligere privatlivsspecifik dokumentation, såsom registre over behandling af personoplysninger, håndtering af anmodninger fra registrerede og vurderinger af konsekvenser for privatlivets fred. ISMS.online giver dig mulighed for at administrere begge standarder i et integreret system.
