Hvad er en ISO 27701:2025 gap-analyse?
En gap-analyse sammenligner jeres nuværende privatlivspraksis med kravene i ISO 27701:2025 for at identificere, hvor I allerede overholder kravene, og hvor der er behov for arbejde. Det er det afgørende første skridt i ethvert implementeringsprojekt, da det giver det udgangspunkt, hvorfra I planlægger, ressourcer og prioriterer jeres vej til certificering.
Uden en gap-analyse risikerer organisationer to dyre fejl: undervurdering af det involverede arbejde (hvilket fører til overskredne deadlines og budgetoverskridelser) eller overvurdering af områder, hvor de allerede overholder reglerne (hvilket spilder tid og ressourcer).
Analysen dækker både Krav til ledelsessystemer i afsnit 4 til 10 og det gældende Bilag A privatlivskontrollerDa ISO 27701:2025 nu er en uafhængig certificerbar standard, skal din gap-analyse vurdere det fulde omfang af krav uafhængigt, ikke kun de privatlivsspecifikke tilføjelser.
Hvordan udfører man en gap-analyse trin for trin?
En grundig gap-analyse følger en struktureret proces. At haste igennem den eller stole på antagelser underminerer værdien af hele øvelsen.
Trin 1: Definer dit omfang
Før du vurderer noget, skal du fastlægge grænserne for dit PIMS. Bestem hvilke dele af din organisation, processer, systemer og data, der er omfattet. Overvej:
- Hvilke forretningsfunktioner behandler personoplysninger?
- Hvilke typer af personoplysninger behandler I (kundedata, medarbejderdata, leverandørdata)?
- Fungerer du som PII-ansvarlig, databehandler eller begge dele?
- Hvilke lokationer, systemer og tredjeparter er involveret?
Trin 2: Vurder kravene til ledelsessystemet (paragraf 4 til 10)
Gennemgå hver klausul i ledelsessystemet, og vurder din nuværende situation i forhold til alle krav. For hvert krav skal du registrere:
- Nuværende tilstand — Hvad du har på plads i dag
- Hul identificeret — Hvad mangler eller er utilstrækkeligt
- Modenhedsniveau — Ikke påbegyndt, delvist implementeret, fuldt implementeret
- Tilgængelig bevismateriale — Hvilken dokumentation eller hvilke optegnelser findes der
Trin 3: Vurder kontrollerne i bilag A
Evaluer hver kontrol i bilag A i forhold til din nuværende praksis. Kontrollerne er organiseret i tre tabeller: PII-dataansvarligekontroller, PII-databehandlerkontroller og delte sikkerhedskontroller. Vurder kun de kontroller, der er relevante for din rolle (dataansvarlig, databehandler eller begge).
Trin 4: Score og kategoriser huller
Tildel en modenhedsscore til hvert krav og kontrol. Et simpelt trafiklyssystem fungerer godt:
| Score | Betydning | Typisk handling |
|---|---|---|
| Grøn | Fuldt implementeret og dokumenteret | Vedligehold og overvåg |
| Rav | Delvist implementeret eller mangler beviser | Luk hullet — der kan være behov for dokumentation, formalisering eller yderligere beviser |
| Rød | Ikke startet eller fundamentalt mangler | Planlæg og implementer fra bunden |
Trin 5: Prioriter og planlæg
Ikke alle huller vejer lige tungt. Prioritér ud fra:
- Certificeringsrisiko — Mangler i obligatoriske krav (ledelsessystemets klausuler) er mere kritiske end huller i kontroller, som du måtte udelade fra din Anvendelseserklæring
- Forretningsrisiko — Mangler, der udsætter organisationen for regulering sanktioner eller databrud bør håndteres hurtigst muligt
- Indsats og afhængigheder — Nogle huller kræver kulturændringer eller samarbejde med tredjeparter, hvilket tager længere tid
Resultatet af din gap-analyse bør være en prioriteret implementeringsplan med tidslinjer, ressourcekrav og klart ejerskab for hvert handlingspunkt.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvad skal du vurdere i hvert klausulområde?
Tabellen nedenfor giver en praktisk tjekliste over, hvad du skal være opmærksom på, når du vurderer hver klausul i ledelsessystemet under din gap-analyse.
| Klausul | Nøglespørgsmål at stille |
|---|---|
| Klausul 4: Kontekst | Har du identificeret alle interesserede parter? Er omfanget af dit PIMS klart defineret og dokumenteret? Forstår du konteksten for behandling af personoplysninger? |
| Punkt 5: Ledelse | Er der en privatlivspolitik godkendt af topledelsen? Er roller og ansvar for privatliv tydeligt fordelt? Er der bevis for ledelsens engagement? |
| Punkt 6: Planlægning | Har I en metode til risikovurdering af privatlivets fred? Er der et risikoregister med aktuelle poster? Er der en erklæring om anvendelighed? Er der definerede og målbare mål for privatlivets fred? |
| Punkt 7: Support | Er medarbejderne kompetente i deres privatlivsroller? Er der et trænings- og oplysningsprogram? Er dokumenterede oplysninger kontrolleret (versionskontrol, godkendelse, distribution)? |
| Punkt 8: Betjening | Planlægges og kontrolleres driftsprocesser? Udføres risikovurderinger med planlagte intervaller? Implementeres risikohåndtering som planlagt? |
| Klausul 9: Ydelse | Overvåger og måler I effektiviteten af jeres PIMS? Er der blevet udført interne revisioner? Er der blevet gennemført en ledelsesgennemgang? |
| Punkt 10: Forbedring | Er der en proces til håndtering af afvigelser? Spores korrigerende handlinger til færdiggørelse? Er der tegn på løbende forbedringer? |
Hvad er almindelige mangler efter organisationstype?
Forskellige organisationer har en tendens til at støde på forskellige gapprofiler. At forstå dine sandsynlige svage områder, før du starter, hjælper med at fokusere vurderingen.
Organisationer, der er nye inden for ledelsessystemer
Hvis din organisation aldrig har implementeret et ISO-ledelsessystem, kan du forvente betydelige mangler i:
- Risikovurderingsmetode og risikoregister
- Intern revisionsprogram
- Ledelsens gennemgangsproces
- Dokumenteret informationskontrol
- Korrigerende handlinger og løbende forbedringsprocesser
Disse er strukturelle krav, der ligger til grund for hele PIMS. De kræver nye processer, ikke blot dokumentation af eksisterende praksis.
Organisationer med ISO 27001 allerede på plads
Hvis du allerede har ISO 27001, er dit ledelsessystems rammeværk stort set etableret. Typiske mangler fokuserer på privatlivsspecifikke områder:
- Dokumentation af kontekst for behandling af personoplysninger og formålsbegrænsning
- Procedurer for håndtering af rettigheder for registrerede
- Kriterier for risikovurdering med specifikke specifikationer for privatlivets fred
- Definitioner af roller for dataansvarlige og databehandlere
- Vurdering af privatlivets fred
Organisationer, der overgår fra ISO 27701:2019
Hvis du overgår fra 2019-udgaven, bør din gap-analyse fokusere på de strukturelle ændringer i 2025-udgaven. Se vores overgangsvejledning for den fulde oversigt over ændringerne. Almindelige mangler omfatter:
- Opdateret kontrolstruktur i bilag A (2025-udgaven omorganiserer kontrollerne betydeligt)
- Nye krav til uafhængige ledelsessystemer, der tidligere blev arvet fra ISO 27001
- Opdateret risikovurderingstilgang, der afspejler standardens uafhængige karakter
Organisationer med stærk GDPR-compliance
GDPRModne organisationer har ofte solide privatlivspraksisser, men mangler muligvis den formelle ledelsessystemstruktur, som ISO 27701:2025 kræver. Bilag D GDPR-kortlægning hjælper med at identificere, hvor eksisterende GDPR-arbejde opfylder ISO 27701-kravene. Typiske mangler omfatter:
- Formaliseret risikovurderingsmetode (frem for ad hoc DPIA'er)
- Internt revisionsprogram, der dækker hele PIMS
- Struktureret ledelsesgennemgangsproces med registrerede beslutninger
- Erklæring om anvendelighed for bilag A-kontroller
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan accelererer ISMS.online din gap-analyse?
ISMS.online omdanner gap-analysen fra en manuel, regnearksbaseret øvelse til en guidet, struktureret vurdering, der sparer tid og producerer mere handlingsrettede resultater.
- Præbygget vurderingsramme — Hver klausul og bilag A-kontrol er allerede kortlagt i platformen, så du kan vurdere i forhold til den fulde standard uden at skulle opbygge din egen tjekliste
- Modenhedsscoring — Vurder hvert krav ved hjælp af en ensartet modenhedsmodel, hvor platformen automatisk fremhæver dine højest prioriterede mangler
- Sporing af gap-to-action — Konverter fund af mangler direkte til handlingspunkter med ejere, forfaldsdatoer og statussporing
- Bevisforbindelse — Vedhæft eksisterende dokumentation til kravene under vurderingen, så du ved præcis, hvad du har, og hvad du stadig har brug for
- Fremskridtsdashboards — Visualiser din compliance-status med et hurtigt blik og spor forbedringer over tid
- Implementeringsskabeloner — For hvert hul, du identificerer, ISMS.online leverer skabelonpolitikker, procedurer og dokumentation for at lukke sagen hurtigere
For de næste trin efter din gap-analyse, se vores guide til Kom godt i gang med ISO 27701:2025 implementering, som dækker hele processen fra vurdering til certificering.
Hvorfor vælge ISMS.online til din gapanalyse?
- Omfattende standarddækning — Vurder i forhold til hver klausul og bilag A-kontrol uden at opbygge din egen vurderingsramme fra bunden
- Vejledt vurderingsproces — Trinvis vejledning sikrer, at intet overses, selvom du udfører din første gap-analyse af ledelsessystemet
- Øjeblikkelig prioritering — Automatiseret scoring fremhæver dine mest kritiske mangler, så du ved, hvor du skal fokusere ressourcerne først
- Problemfri overgang til implementering — Gap-fund konverteres direkte til implementeringsopgaver inden for den samme platform, hvilket undgår datatab mellem vurdering og handling
- Understøttelse af flere rammer — Hvis du planlægger at implementere ISO 27701 sammen med ISO 27001 eller andre standarder, ISMS.online kortlægger overlappende krav, så du kan vurdere én gang og opfylde flere rammer
- Indbygget samarbejde — Tildel vurderingssektioner til forskellige teammedlemmer og følg fremskridt centralt
- Tillid fra tusindvis af organisationer — ISMS.online har hjulpet virksomheder af alle størrelser med at udføre gap-analyser og opnå ISO-certificering
Ofte Stillede Spørgsmål
Hvor lang tid tager en ISO 27701:2025 gap-analyse?
En typisk gap-analyse tager to til fire uger, afhængigt af organisationens størrelse og kompleksitet. Mindre organisationer med et fokuseret omfang kan færdiggøre den på en til to uger. Større organisationer med flere forretningsenheder, omfattende databehandling og eksisterende ledelsessystemer kan have brug for fire uger eller mere.
Skal vi udføre gap-analysen internt eller hyre en konsulent?
Begge tilgange virker. Interne vurderinger er omkostningseffektive og opbygger organisatorisk viden, men kan overse huller, hvis teammedlemmer mangler erfaring med ISO-ledelsessystemer. konsulent bringer ekspertise og objektivitet, men til en højere pris. Mange organisationer benytter en hybrid tilgang: udfør den indledende vurdering internt ved hjælp af en platform som ISMS.online og derefter engagere en konsulent til at validere resultaterne.
Kan vi bruge vores ISO 27001 gap-analyse som udgangspunkt?
Ja. Hvis du allerede har ISO 27001, er dine ledelsessystemklausuler stort set på plads, og din gap-analyse kan fokusere på de privatlivsspecifikke krav og bilag A-kontroller. Du bør dog stadig gennemgå ledelsessystemklausulerne, da ISO 27701:2025 indeholder privatlivsspecifikke nuancer, som ISO 27001 ikke dækker.
Hvilken leverance skal gap-analysen producere?
Det primære output er en prioriteret liste over mangler med modenhedsscorer, der er kortlagt i forhold til standardens krav og kontroller. Dette bør indgå direkte i en implementeringsplan med tidslinjer, ressourceestimater og ejerskab. ISMS.online, dette output genereres automatisk, når du gennemfører vurderingen.
Hvor ofte skal vi gentage gap-analysen?
En fuld gap-analyse udføres typisk én gang under den indledende implementering og igen ved overgang mellem udgaver (f.eks. fra 2019 til 2025). Efter certificering tjener regelmæssige interne revisioner et lignende formål. Det er dog god praksis at gentage en fokuseret gap-analyse årligt eller efter betydelige organisatoriske ændringer for at sikre, at dit PIMS forbliver aktuelt.
