Hvad er anvendelighedserklæringen, og hvorfor er den vigtig?
Anvendelseserklæringen (SoA) er et dokument, der viser alle kontroller fra Bilag A i ISO 27701:2025 og angiver, om hver enkelt er relevant for din organisation. For hver relevant kontrol registrerer du dens implementeringsstatus. For hver udelukket kontrol giver du en begrundelse.
Det er vigtigt af tre grunde:
- Det definerer omfanget af dit PIMS — SoA fortæller din certificeringsorgan præcis hvilke kontroller du har implementeret, og hvorfor andre er udelukket. Det er grundlaget for din certificeringsrevision.
- Det er et obligatorisk krav — Punkt 6.1.3 e) i ISO 27701:2025 kræver eksplicit en anvendelighedserklæring, der omfatter de nødvendige kontroller, begrundelse for deres inkludering, om de er implementeret, og begrundelse for at udelukke eventuelle bilag A-kontroller.
- Det er din revisionsplan — Revisoren bruger din SoA som primær reference under fase 2-revisionen. Enhver kontrol, der er markeret som relevant, vil blive vurderet for at dokumentere implementeringen.
Hvad skal SoA'en indeholde?
I henhold til ISO 27701:2025 skal din SoA indeholde følgende for hver kontrol i bilag A:
| Påkrævet element | Beskrivelse | Eksempel |
|---|---|---|
| Kontrolreference | Kontrolnummer og titel i bilag A | A.1.2 — Privatlivspolitik |
| Anvendelsesstatus | Om kontrollen er gældende for din organisation | Gældende / Ikke gældende |
| Implementeringsstatus | For relevante kontroller: om kontrollen er fuldt implementeret, delvist implementeret eller planlagt | implementeret |
| Begrundelse for optagelse | Hvorfor denne kontrol er nødvendig for dit PIMS (typisk knyttet til din risikovurdering) | Påkrævet for at håndtere risiko R-014 (utilstrækkelig gennemsigtighed for registrerede) |
| Begrundelse for udelukkelse | For undtagne kontroller: hvorfor kontrollen ikke er relevant for dine databehandlingsaktiviteter | Ikke relevant — organisationen fungerer ikke som PII-behandler |
Hvordan er SoA'en for 2025 struktureret anderledes end i 2019?
Hvis du er bekendt med 2019-udgaven, har SoA-strukturen ændret sig markant:
| Aspect | 2019 edition | 2025 edition |
|---|---|---|
| Kontrolkilde | Klausul 6, 7 og 8 (udvidelser til ISO 27002) | Bilag A (78 separate kontroller på tværs af 3 tabeller) |
| Struktur | SoA dækkede både ISO 27001 Annex A og ISO 27701 klausultilføjelser | ISO 27701:2025 har sin egen dedikerede SoA, der kun dækker Anneks A. |
| Kontroltabeller | Organiseret efter ISO 27002-klausulstruktur | Tre tabeller: A.1 (controller, 31 kontroller), A.2 (processor, 18 kontroller), A.3 (delt, 29 kontroller) |
| Forhold til ISO 27001 SoA | Kombineret eller krydsrefereret | Separat dokument. Hvis du har begge certificeringer, opretholder du to SoA'er. |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan bør du gribe opbygningen af SoA'en an?
Trin 1: Bestem din(e) rolle(r)
ISO 27701:2025 skelner mellem PII-controllere og PII-processorer. Din rolle bestemmer, hvilke tabeller i bilag A der gælder:
- Kun PII-controller — Tabel A.1 (31 kontroller) + Tabel A.3 (29 kontroller) = 60 kontroller
- Kun PII-processor — Tabel A.2 (18 kontroller) + Tabel A.3 (29 kontroller) = 47 kontroller
- Både controller og processor — Alle tre tabeller = 78 kontroller
Mange organisationer fungerer som både dataansvarlige (for medarbejderdata) og databehandlere (for kundedata). Hvis dette gælder for dig, er alle 78 kontroller omfattet.
Trin 2: Forbind kontroller med din risikovurdering
Hver relevant kontrol bør kunne spores tilbage til en risiko, der er identificeret i din vurdering af privatlivets fred. Dette link er, hvad revisioneller bruger til at verificere, at dit valg af kontrol er risikobaseret snarere end vilkårlig. Hvis en kontrol adresserer en risiko, du har identificeret, bør den være relevant. Hvis ingen risiko berettiger kontrollen, og din databehandling ikke kræver den, kan du udelukke den med en dokumenteret begrundelse.
Trin 3: Dokumentér implementeringsstatus ærligt
For hver relevant kontrol skal du registrere dens aktuelle status:
- implementeret — Kontrollen er fuldt operationel med beviser
- Delvist implementeret — Nogle elementer er på plads; der er stadig arbejde
- Planlagt — Kontrollen er i din implementeringsplan, men er endnu ikke operationel
Vær ærlig omkring delvis implementering. Revisorer respekterer gennemsigtighed og vil samarbejde med dig om en tidsplan for korrigerende handlinger. Påstå, at der er fuld implementering, når bevismateriale er tynd er en hurtig vej til en større afvigelse.
Trin 4: Skriv forsvarlige udelukkelsesbegrundelser
For hver udelukket kontrol skal din begrundelse forklare, hvorfor den ikke er relevant for din specifikke databehandlingskontekst. Generiske begrundelser som "ikke relevant" er utilstrækkelige. Eksempler på forsvarlige udelukkelser:
- "Kontrol A.2.x er ikke relevant, da organisationen ikke fungerer som PII-behandler for nogen tredjepart."
- "Kontrol A.1.x (direkte markedsføring) er ikke relevant, fordi organisationen ikke behandler personoplysninger til direkte markedsføringsformål."
- "Kontrol A.3.x (fysiske medier) er ikke relevant, fordi organisationen behandler personoplysninger udelukkende i digital form uden fysiske optegnelser."
Hvilke fejl forårsager revisionsresultater i SoA'en?
- Manglende begrundelser for udelukkelser — Det mest almindelige fund. Enhver udelukket kontrol kræver en specifik, dokumenteret årsag. "Ikke relevant" alene er ikke tilstrækkeligt.
- Kontroller markeret som implementeret uden bevis — Hvis du markerer en kontrol som implementeret, vil revisoren bede om at se dokumentation. Sørg for, at der findes dokumentation, og at den er forbundet, inden din revision.
- SoA stemmer ikke overens med risikovurderingen — Hvis din risikovurdering identificerer en risiko for privatlivets fred, men den tilsvarende kontrol er udelukket i SoA'en, vil revisoren påpege dette som en afvigelse.
- Brug af 2019-strukturen — Hvis din SoA refererer til tilføjelser til klausul 7/8 vedrørende dataansvarlige/databehandlere i stedet for tabeller i bilag A, opfylder den ikke kravene 2025 krav.
- Ingen versionskontrol — SoA'en er et levende dokument. Hvis den ikke har en versionshistorik, der viser, hvornår den sidst blev gennemgået og opdateret, kan revisoren sætte spørgsmålstegn ved, om den afspejler din nuværende tilstand.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan holder I SoA'en opdateret?
Din SoA er ikke et engangsdokument. Den skal gennemgås og opdateres:
- Efter ændringer i risikovurderingen — Nye risici kan kræve yderligere kontrolforanstaltninger; udgåede risici kan give mulighed for undtagelser
- Når databehandlingsaktiviteter ændres — Nye tjenester, nye datatyper eller nye behandlingsforhold kan påvirke, hvilke kontroller der gælder
- Før hver revision — Sørg for, at SoA'en nøjagtigt afspejler din nuværende implementeringsstatus
- Som en del af ledelsens gennemgang — Inkluder SoA-valuta som et fast punkt på dagsordenen
A compliance-platform der genererer SoA'en fra dine live-kontroldata, gør dette automatisk i stedet for manuelt. Når du opdaterer en kontrols status eller tilføjer en ny risiko, afspejler SoA'en ændringen med det samme.
Hvorfor vælge ISMS.online for ISO 27701:2025?
- Automatiseret SoA-generering — Opbyg din anvendelighedserklæring ud fra dine kontrolvalg, med begrundelser og evidenslinks udfyldt automatisk
- Alle 78 Annex A-kontroller er forudindlæst — Dataansvarlig, databehandler og delte kontroller er klar til vurdering, med vejledningsnotater for hver enkelt
- Sporbarhed fra risiko til kontrol — Forbind alle kontroller med de risici, de adresserer, så revisorerne får den forventede evidenskæde
- Live-dokument — Din SoA opdateres automatisk, når du ændrer kontrolstatusser, tilføjer risici eller ændrer udelukkelsesbegrundelser.
- Versionshistorik — Fuld revisionsspor for ændringer i SoA, der opfylder kravet til versionskontrol uden manuel sporing
- Klar til eksport — Eksporter din SoA i et professionelt format til din certificeringsorganisation, kunder eller ledelsens evaluering
- Multi-framework — Hvis du vedligeholder både ISO 27001 og ISO 27701, administrerer platformen begge SoA'er med delte kontroller kortlagt på tværs af frameworks.
Klar til at udarbejde din anvendelighedserklæring? Book en demo og se hvordan ISMS.online gør din ISO 27701: 2025 certificering Klar til SoA-revision fra dag ét.
Ofte stillede spørgsmål
Hvor mange kontroller skal der være i min SoA?
Din SoA skal liste alle 78 bilag A-kontroller (eller den delmængde, der er relevant for din rolle som dataansvarlig, databehandler eller begge). Hver kontrol er enten relevant eller udelukket med begrundelse. Antallet af relevante kontroller varierer fra organisation til organisation, men de fleste organisationer, der fungerer som både dataansvarlig og databehandler, vil have 50-70 relevante kontroller.
Har jeg brug for en separat SoA for ISO 27701 og ISO 27001?
Ja. I henhold til 2025-udgaven har ISO 27701 sit eget bilag A med privatlivsspecifikke kontroller, adskilt fra ISO 27001's bilag A. Hvis du har begge certificeringer, opretholder du to SoA'er. En compliance-platform som f.eks. ISMS.online administrerer begge og kortlægger delte kontroller, så du ikke dobbeltarbejde.
Kan jeg udelade en hel tabel i bilag A?
Ja, hvis din rolle berettiger det. Hvis du f.eks. udelukkende er PII-behandler og aldrig fungerer som dataansvarlig, kan du udelukke alle kontroller i tabel A.1 (dataansvarlig) med den begrundelse, at du ikke bestemmer formålene eller midlerne til PII-behandling. Tabel A.3 (delte kontroller) gælder for alle organisationer uanset rolle.
Hvilken dokumentation skal der være knyttet til hver kontrol?
Dokumentation varierer afhængigt af kontroltype, men omfatter typisk: politikker (godkendte og anerkendte), procedurer (dokumenterede og fulgte), optegnelser (logfiler, registre, mødereferater) og teknisk dokumentation (systemkonfigurationer, adgangskontroller). Nøglen er at demonstrere, at kontrollen ikke blot er dokumenteret, men fungerer effektivt.
Hvor ofte skal SoA'en gennemgås?
Som minimum skal du gennemgå SoA'en årligt som en del af din ledelsesgennemgangscyklus og før hver certificerings- eller overvågningsrevision. Du bør også opdatere den, når der er en væsentlig ændring i dine databehandlingsaktiviteter, risikoprofil eller organisationsstruktur. En live, platformgenereret SoA forbliver automatisk opdateret, når du opdaterer dine kontroller.
