Hvorfor understøtter ISO 27701:2025 overholdelse af GDPR?
Den generelle forordning om databeskyttelse kræver, at organisationer implementerer passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger, men den foreskriver ikke præcis hvordan. ISO 27701:2025 udfylder dette hul ved at levere en systematisk, kontrollerbar ramme for håndtering af personligt identificerbare oplysninger (PII), der er i overensstemmelse med GDPR's principper og krav.
2025-udgaven styrker denne sammenhæng betydeligt. Bilag D giver en eksplicit kortlægning mellem ISO 27701-kontroller og specifikke GDPR-artikler, hvilket giver organisationer en officiel reference for, hvordan deres databeskyttelsessystem (PIMS) understøtter hver enkelt lovgivningsmæssig forpligtelse. Dette er ikke en garanti for overholdelse, men det er stærkt og påviseligt bevis på en systematisk tilgang til databeskyttelse.
ISO 27701-certificering understøtter overholdelse af GDPR på flere måder:
- Ansvarlighed (artikel 5(2)) — Certificering viser, at din organisation har implementeret et struktureret system til styring af privatlivets fred, ikke blot skriftlige politikker
- Databeskyttelse gennem design og standardindstillinger (artikel 25) — Kontrolrammen sikrer, at privatlivets fred er integreret i behandlingsaktiviteter fra starten
- Databehandleroverholdelse (artikel 28) — Databehandlere kan bruge ISO 27701-certificering til at give tilstrækkelige garantier til dataansvarlige
- Internationale overførsler (artikel 46) — Certificering kan tjene som en passende sikkerhedsforanstaltning for grænseoverskridende dataoverførsler
Hvordan er principperne i GDPR artikel 5 knyttet til ISO 27701-kontrollerne?
Artikel 5 i GDPR fastlægger de centrale databeskyttelsesprincipper. Hvert af dem er dækket af ISO 27701:2025-kontroller:
| GDPR-princippet (artikel 5) | ISO 27701:2025 Kontroller | Hvordan de justerer sig |
|---|---|---|
| Lovlighed, retfærdighed og gennemsigtighed | A.1.2.3 Identificér det lovlige grundlag, A.1.3.2 Forpligtelser over for PII-opdragsgivere, A.1.3.3 Information til PII-principaler, A.1.3.4 Oplysningsgivning | Kræv dokumentation af retsgrundlag, gennemsigtighedsforpligtelser og klar information til registrerede |
| Formålsbegrænsning | A.1.2.2 Identificér og dokumenter formål, A.2.2.3 Organisationens formål | Påbud om dokumentation af behandlingsformål og forhindre behandling ud over disse angivne formål |
| Dataminimering | A.1.4.2 Grænseindsamling, A.1.4.3 Begræns behandling, A.1.4.5 Minimering af personoplysninger | Begræns indsamling og behandling af personoplysninger til, hvad der er tilstrækkeligt, relevant og nødvendigt |
| Nøjagtighed | A.1.4.4 Nøjagtighed og kvalitet | Kræver foranstaltninger for at sikre, at personoplysninger forbliver nøjagtige og opdaterede |
| Opbevaringsbegrænsning | A.1.4.8 Tilbageholdelse, A.1.4.9 Bortskaffelse | Håndtering af midlertidig filhåndtering og fastsættelse af krav til opbevaring og bortskaffelse |
| Integritet og fortrolighed | A.3.x delte kontroller | 29 sikkerhedskontroller, der dækker adgangskontrol, kryptografi, fysisk sikkerhed, driftssikkerhed og mere |
| Ansvarlighed | A.1.2.9 Registrering af behandling af personoplysninger, A.2.2.7 Registrering af behandling af personoplysninger | Kræv omfattende optegnelser over behandling af personoplysninger for både dataansvarlige og databehandlere |
Hvordan er den dataansvarliges forpligtelser knyttet til bilag A.1?
Artikel 24 og 25 i GDPR pålægger dataansvarlige specifikke forpligtelser, herunder implementering af passende foranstaltninger, vedligeholdelse af registre og sikring af indbygget databeskyttelse. Bilag A.1 indeholder 31 kontroller, der er direkte knyttet til disse forpligtelser:
- Betingelser for behandling (A.1.2.x) — Otte kontroller, der dækker formålsdokumentation, retsgrundlag, samtykkehåndtering, konsekvensanalyser for privatlivets fred, databehandlerkontrakter, fælles dataansvarligeaftaler og behandlingsregistre. Disse understøtter artikel 6, 7, 24, 25, 26 og 30
- Forpligtelser over for PII-opdragsgivere (A.1.3.x) — Ti kontrolforanstaltninger vedrørende registreredes rettigheder, herunder informationslevering, tilbagetrækning af samtykke, indsigelse, adgang, berigtigelse, sletning, portabilitet og automatiseret beslutningstagning. Disse relaterer sig til artikel 12 til 22
- Indbygget beskyttelse af personlige oplysninger (A.1.4.x) — Ni kontroller, der dækker begrænsning af indsamling, begrænsning af behandling, nøjagtighed, minimering, anonymisering, midlertidige filer, opbevaring og transmission. Disse understøtter artikel 5 og 25
- Internationale overførsler (A.1.5.x) — Fire kontroller vedrørende identifikation af overførselsjurisdiktioner, dokumentation af overførselsgrundlag og registrering af overførsler. Disse relaterer sig til artikel 44 til 49
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan er databehandlerforpligtelser relateret til bilag A.2?
Artikel 28 i GDPR fastsætter detaljerede krav til databehandlere. Bilag A.2 indeholder 18 kontroller, der direkte understøtter processorer i at opfylde disse krav:
- Forarbejdningsbetingelser (A.2.2.x) — Seks kontroller, der dækker kundeaftaler, behandlingsformål, markedsføringsrestriktioner, krænkende instruktioner, kundeforpligtelser og behandlingsregistre. Disse omhandler direkte kravene i artikel 28(3) til databehandlerkontrakter
- PII's primære forpligtelser (A.2.3.2 Forpligtelser over for PII-opdragsgivere) — Én kontrol, der kræver, at databehandlere støtter dataansvarlige i at besvare anmodninger fra registrerede, i overensstemmelse med artikel 28, stk. 3, litra e)
- Indbygget beskyttelse af personlige oplysninger (A.2.4.x) — Tre kontroller vedrørende midlertidige filer, returnering/overførsel/bortskaffelse af PII og PII-overførsel
- Internationale overførsler (A.2.5.x) — Otte kontroller, der dækker overførselsgrundlag, landedokumentation, oplysningsregistre, meddelelse om anmodninger om oplysning, juridisk bindende oplysninger, oplysning fra underleverandører, engagement af underleverandører og ændringer af underleverandører
For databehandlere giver ISO 27701:2025-certificering stærk dokumentation for overholdelse af artikel 28. Dataansvarlige kan henvise til databehandlerens certificering som bevis for, at der er tilstrækkelige garantier på plads, hvilket strømliner due diligence og kontraktforhandlinger.
Brug af certificering i databehandleraftaler
I praksis kan der henvises direkte til ISO 27701-certificering i databehandleraftaler som bevis for tilstrækkelige garantier i henhold til artikel 28(1). Dette gavner begge parter:
- Til processorer — Certificering reducerer behovet for at udfylde skræddersyede sikkerhedsspørgeskemaer for hver kunde. Et enkelt, uafhængigt revideret certifikat dækker de vigtigste krav.
- Til controllere — Certificering giver sikkerhed for, at databehandlerens privatlivspraksis er blevet verificeret af en akkrediteret tredjepart, hvilket reducerer due diligence-indsatsen
- For underdatabehandlere — A.2.5.x-overførselskontrollerne og A.2.2.2 Kundeaftale (kundeaftale) sikre, at databehandleren har dokumenterede kontroller over sin egen forsyningskæde
Hvordan understøtter ISO 27701 den registreredes rettigheder i henhold til artikel 15 til 22?
Et af de mest operationelt krævende aspekter af GDPR er at opfylde de registreredes rettigheder. ISO 27701:2025 giver en struktureret tilgang gennem A.1.3.x-controllerkontrollerne:
| GDPR-rettighed | Artikel | ISO 27701 kontrol |
|---|---|---|
| Ret til at blive informeret | Artikel 13 og 14 | A.1.3.3 Information til PII-principaler, A.1.3.4 Oplysningsgivning |
| Ret til adgang | artikel 15 | A.1.3.7 Adgang, rettelse eller sletning, A.1.3.9 Levering af kopi af personoplysninger |
| Ret til berigtigelse | artikel 16 | A.1.3.7 Adgang, rettelse eller sletning |
| Ret til sletning | artikel 17 | A.1.3.7 Adgang, rettelse eller sletning |
| Ret til at begrænse behandlingen | artikel 18 | A.1.3.7 Adgang, rettelse eller sletning |
| Underretningspligt | artikel 19 | A.1.3.8 Underretning af tredjeparter |
| Ret til dataportabilitet | artikel 20 | A.1.3.9 Levering af kopi af personoplysninger |
| Ret til indsigelse | artikel 21 | A.1.3.6 Indsigelse mod behandling af personoplysninger |
| Automatiseret beslutningstagning | artikel 22 | A.1.3.11 Automatiseret beslutningstagning |
kontrol A.1.3.10 Håndtering af anmodninger (Håndtering af anmodninger) giver den operationelle ramme for håndtering af alle anmodninger fra registrerede, herunder svarfrister, verifikationsprocedurer og eskaleringsveje. Denne kontrol understøtter den praktiske opfyldelse af alle ovennævnte rettigheder.
Hvordan håndterer ISO 27701-kontroller internationale dataoverførsler?
GDPR artikel 44 til 49 pålægger strenge krav til overførsel af personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde. ISO 27701:2025 adresserer dette gennem dedikerede overførselskontroller i både tabellerne for dataansvarlige (A.1.5.x) og databehandlere (A.2.5.x):
- A.1.5.2 Grundlag for overførsel af personoplysninger og A.2.5.2 Grundlag for overførsel af personoplysninger — Identificér de lande og internationale organisationer, hvortil PII kan overføres
- A.1.5.3 Lande til overførsel af personoplysninger og A.2.5.3 Lande til overførsel af personoplysninger — Dokumentér retsgrundlaget for hver overførsel (afgørelse om tilstrækkelighed, standardkontraktbestemmelser, bindende virksomhedsregler osv.)
- A.1.5.4 Optegnelser over PII-overførsel og A.2.5.4 Registrering af PII-oplysninger — Opbevar registre over PII-overførsler af hensyn til ansvarlighed
- A.2.5.5 Anmodninger om videregivelse af personoplysninger — Databehandlerspecifik kontrol til underretning af dataansvarlige om autoriserede landeændringer
- A.2.5.7 Oplysninger om underleverandører og A.2.5.8 Inddragelse af underleverandører — Kontrolelementer til håndtering af overførsler til underdatabehandlere og besvarelse af anmodninger om adgang fra myndigheder
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvordan understøtter ISO 27701 anmeldelse af brud i henhold til artikel 33 og 34?
GDPR kræver, at organisationer underretter tilsynsmyndigheder om brud på persondatasikkerheden inden for 72 timer (artikel 33) og i højrisikotilfælde underretter berørte personer uden unødig forsinkelse (artikel 34). ISO 27701:2025 understøtter disse krav gennem delte sikkerhedskontroller:
- A.3.11 Hændelseshåndtering (Planlægning og forberedelse af håndtering af informationssikkerhedshændelser) — Kræver, at organisationer etablerer procedurer for hændelseshåndtering, der omfatter identifikation, klassificering og eskalering af brud på privatlivets fred
- A.3.12 Reaktion på sikkerhedshændelser (Rapportering af informationssikkerhedshændelser) — Etablerer rapporteringskanaler og ansvarsområder for sikkerhedshændelser, der kan involvere personoplysninger, og sikrer, at brud opdages og rapporteres inden for den krævede tidsramme.
Kombinationen af disse kontroller med det bredere PIMS-rammeværk sikrer, at organisationer har de processer, den dokumentation og det bevismateriale, der er nødvendigt for at opfylde GDPR's underretningskrav.
Hvordan håndterer ISO 27701 konsekvensanalyser af databeskyttelse?
Artikel 35 i GDPR kræver konsekvensanalyser vedrørende databeskyttelse (DPIA'er) for behandlingsaktiviteter, der sandsynligvis vil medføre en høj risiko for enkeltpersoner. ISO 27701:2025 Kontrol A.1.2.6 Vurdering af indvirkning på privatlivets fred (Konsekvensanalyse af privatlivets fred) kræver, at organisationer udfører konsekvensanalyser af privatlivets fred, når nye behandlingsaktiviteter introduceres, eller eksisterende aktiviteter ændres væsentligt.
Kontrollen kræver, at organisationer vurderer nødvendigheden og proportionaliteten af behandlingen, evaluerer risici for personoplysninger, identificerer foranstaltninger til at afbøde disse risici og dokumenterer vurderingen og dens resultater. Dette er direkte i overensstemmelse med DPIA-kravene i artikel 35, og vejledningen i bilag B giver en praktisk ramme for systematisk udførelse af disse vurderinger.
Ved at integrere konsekvensanalyser af privatlivets fred i PIMS sikrer organisationer, at de udføres ensartet på tværs af alle behandlingsaktiviteter i stedet for på ad hoc-basis. Dette er en betydelig fordel i forhold til enkeltstående DPIA-processer, der kan anvendes inkonsekvent eller overses helt.
Brug af ISO 27701 til at demonstrere GDPR-ansvarlighed
I henhold til artikel 5(2) i GDPR skal dataansvarlige påvise overholdelse af alle databeskyttelsesprincipper. Dette "ansvarlighedsprincip" er et af de mest krævende aspekter af GDPR, fordi det flytter bevisbyrden til organisationen. Det er ikke nok blot at overholde reglerne; du skal være i stand til at bevise det.
ISO 27701:2025-certificering er en af de stærkeste former for ansvarlighedsdokumentation, der er tilgængelig, fordi:
- Uafhængig verifikation — Et akkrediteret certificeringsorgan reviderer dit PIMS i forhold til standardens krav og giver tredjepartsgaranti for, at din privatlivsstyring er systematisk og effektiv.
- Løbende overholdelse — Ledelsessystemets tilgang kræver løbende overvågning, interne revisioner og ledelsesgennemgange, ikke blot en engangs compliance-øvelse
- Dokumenteret bevismateriale — PIMS genererer et omfattende revisionsspor over politikker, procedurer, risikovurderinger, behandlingsregistre og korrigerende handlinger
- Regulatorisk anerkendelse — Selvom det ikke er en formel GDPR-certificering i henhold til artikel 42, henvises ISO 27701 i stigende grad til af tilsynsmyndigheder og brancheorganisationer som troværdigt bevis på privatlivsmodenhed
I tilfælde af en klage over databeskyttelse eller en myndighedsundersøgelse viser ISO 27701-certificering, at din organisation har taget proaktive, strukturerede skridt til at beskytte personoplysninger. Dette kan være en betydelig formildende faktor, når tilsynsmyndigheder overvejer håndhævelsesforanstaltninger.
For organisationer, der opererer på tværs af flere jurisdiktioner, giver ISO 27701 også et ensartet grundlag. Selvom GDPR er den mest omfattende databeskyttelsesforordning, findes der lignende principper i love verden over, fra Brasiliens LGPD til Californiens CCPA. Et ISO 27701-certificeret PIMS adresserer de fælles krav på tværs af disse regler, hvilket reducerer den indsats, der er nødvendig for at påvise overholdelse i hver jurisdiktion.
Hvorfor vælge ISMS.online for ISO 27701 og GDPR-overholdelse?
ISMS.online er bygget til at hjælpe organisationer med at opnå og opretholde både ISO 27701-certificering og GDPR-overholdelse på én platform:
- GDPR-kortlagt kontrolramme — Se præcis hvordan dine ISO 27701-kontroller er knyttet til hver GDPR-artikel ved hjælp af Bilag D kortlægning indbygget i platformen
- Håndtering af anmodninger fra den registrerede — Spor og besvar anmodninger om adgang, berigtigelse, sletning og dataportabilitet med indbyggede arbejdsgange og revisionsspor
- Register over behandlingsaktiviteter — Vedligehold dine artikel 30-registre over behandlingsaktiviteter, der er direkte knyttet til de kontroller, der beskytter hver behandlingsaktivitet
- Arbejdsgang for håndtering af brud — Log, vurder og rapporter databrud med strukturerede arbejdsgange, der hjælper dig med at overholde 72-timers notifikationsvinduet
- Vurderinger af overførselskonsekvenser — Dokumentér og vurder internationale dataoverførsler med indbyggede skabeloner, der er tilpasset A.1.5.x- og A.2.5.x-kontrollerne
Ofte Stillede Spørgsmål
Beviser ISO 27701-certificering overholdelse af GDPR?
ISO 27701-certificering er ikke en officiel GDPR-certificeringsmekanisme i henhold til artikel 42, og ingen enkelt certificering kan garantere fuld overholdelse af GDPR. ISO 27701:2025-certificering giver dog stærk, uafhængigt revideret dokumentation for, at din organisation har implementeret en systematisk tilgang til privatlivsstyring, der er i overensstemmelse med GDPR-principper og -krav. Bilag D indeholder en eksplicit kortlægning mellem kontroller og GDPR-artikler, hvilket gør det nemt at demonstrere, hvordan dit PIMS opfylder hver forpligtelse. Mange tilsynsmyndigheder og brancheorganisationer anerkender ISO 27701-certificering som en troværdig indikator for modenhed i GDPR-overholdelse.
Hvilke GDPR-artikler er dækket af ISO 27701:2025?
Bilag D kortlægger ISO 27701-kontroller til GDPR-artikler, der dækker de centrale databeskyttelsesprincipper (artikel 5), retsgrundlag for behandling (artikel 6), samtykke (artikel 7), særlige kategorier (artikel 9), gennemsigtighed og information (artikel 12-14), registreredes rettigheder (artikel 15-22), dataansvarliges forpligtelser (artikel 24-25), databehandlerkrav (artikel 28), behandlingsregistre (artikel 30), sikkerhed (artikel 32), brudsmeddelelser (artikel 33-34), konsekvensanalyser vedrørende databeskyttelse (artikel 35) og internationale overførsler (artikel 44-49). Kortlægningen er omfattende, men organisationer bør stadig foretage deres egen vurdering for at sikre fuld dækning af deres specifikke behandlingsaktiviteter.
Kan databehandlere bruge ISO 27701-certificering til at overholde artikel 28?
Ja, dette er en af de mest praktiske anvendelser af ISO 27701-certificering. GDPR artikel 28(1) kræver, at dataansvarlige kun bruger databehandlere, der giver "tilstrækkelige garantier" for passende tekniske og organisatoriske foranstaltninger. En databehandler med en ISO 27701:2025-certificering demonstrerer gennem uafhængig revision, at vedkommende har implementeret et system til håndtering af databeskyttelse, der dækker alle de områder, der kræves i artikel 28(3), herunder behandling under instruktion, fortrolighed, sikkerhed, administration af underdatabehandlere, support af registreredes rettigheder, anmeldelse af brud, sletning og revisionsrettigheder. Dette forenkler due diligence-processen betydeligt for dataansvarlige, der evaluerer potentielle databehandlere.
Vores vejledning til grænseoverskridende dataoverførsler giver praktiske trin til implementering af overførselsbeskyttelsesforanstaltninger i henhold til ISO 27701:2025.
Se vores analyse af omkostninger ved manglende overholdelse vs. certificering for det fulde økonomiske billede.
Organisationer, der også overvejer amerikanske rammer, bør læse ISO 27701:2025 vs. SOC 2: Hvilken har du brug for?.
