Hvad betyder en selvstændig certificering?
2025-udgaven af ISO 27701 er en komplet, selvstændig ledelsessystemstandard. I modsætning til 2019-udgaven, som var en udvidelse af ISO 27001 og kun kunne certificeres sideløbende med den, inkluderer ISO 27701:2025 sit eget komplette sæt af ledelsessystemkrav i Klausul 4 til 10.
Det betyder, at organisationer nu kan opnå ISO 27701:2025-certificering på egen hånd, uden først at skulle implementere eller certificere i henhold til ISO 27001. Dette er en af de mest betydningsfulde ændringer i 2025-udgaven og ændrer fundamentalt, hvem der kan drage fordel af standarden.
Hvorfor blev denne ændring foretaget?
2019-udgaven krævede, at organisationer først implementerede ISO 27001 (informationssikkerhed), før de tilføjede ISO 27701 (privatliv). Selvom dette gav mening for organisationer, der allerede håndterede informationssikkerhed, skabte det en betydelig barriere for:
- Organisationer, der havde brug for privatlivscertificering, men ikke havde et øjeblikkeligt behov for et fuldt ISMS
- Mindre organisationer, hvor de samlede omkostninger og indsats ved to standarder var uoverkommelige
- Privatlivsprioriterede virksomheder, hvis primære fokus var at demonstrere overholdelse af databeskyttelse
- Organisationer i sektorer, hvor regulering af privatlivets fred er den primære drivkraft (sundhedsvæsen, uddannelse, HR-tjenester)
Ved at gøre ISO 27701:2025 selvstændig bliver standarden tilgængelig for en langt bredere vifte af organisationer, der ønsker at demonstrere effektiv privatlivsstyring gennem en internationalt anerkendt certificering.
Hvem drager fordel af en selvstændig certificering?
Selvstændig certificering er særligt værdifuld for:
- Privatlivsfokuserede startups — Virksomheder bygget op omkring databehandlingstjenester, der skal demonstrere troværdighed over for kunderne
- SMV'er med begrænsede ressourcer — Organisationer, der ønsker privatlivscertificering uden omkostningerne ved et komplet informationssikkerhedsstyringssystem
- Databehandlere — Cloud-udbydere, SaaS-virksomheder og outsourcede behandlingstjenester, der skal demonstrere GDPR overholdelse af deres kunders
- Regulerede industrier — Sundhedsudbydere, finansielle servicevirksomheder og uddannelsesinstitutioner, hvor privatlivets fred er den primære lovgivningsmæssige bekymring
- Organisationer med eksisterende sikkerhedsrammer — Virksomheder, der bruger SOC 2, NIST eller andre sikkerhedsrammer, og som ønsker en dedikeret privatlivscertificering
Organisationer, der allerede har ISO 27001, kan stadig integrere begge systemer. Standarderne er designet til at fungere sammen, og en kombineret tilgang giver omfattende informationssikkerhed og privatlivsstyring.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvad involverer certificeringsprocessen?
Certificeringsprocessen for ISO 27701:2025 følger standard ISO-ledelsessystemets certificeringstilgang:
Din erklæring om anvendelighed vil henvise til Tabel A.1 regulatorstyringer, Tabel A.2 processorkontroller og Tabel A.3 Delte sikkerhedskontroller.
| Stage | Hvad sker | Typisk varighed |
|---|---|---|
| Forberedelse | Implementer PIMS: etabler kontekst, vurder risici, implementer kontroller, opret dokumentation | 3 til 12 måned |
| Fase 1 revision | Certificeringsorganet gennemgår dokumentation og parathed. Identificerer eventuelle områder, der kræver opmærksomhed inden fase 2. | 1 til 2 dage |
| Fase 2 revision | Vurdering af PIMS-implementering og effektivitet på stedet (eller eksternt). Revisorer interviewer personale, gennemgår beviser og tester kontroller. | 2 til 5 dage |
| Certificeringsbeslutning | Certificeringsorganet gennemgår revisionsresultaterne og beslutter, om certifikatet skal udstedes | 2 4 uger til |
| Overvågningsrevisioner | Årlige revisioner for at verificere, at PIMS fortsat opfylder kravene | 1 til 2 dage årligt |
| recertificering | Fuld revurdering ved afslutningen af den treårige certificeringscyklus | 2 til 4 dage |
Hvordan er dette sammenlignet med tilgangen fra 2019?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Forudsætning | ISO 27001-certificering påkrævet | Ingen forudsætning, separat certificering tilgængelig |
| Klausuler om ledelsessystemer | Suppleret ISO 27001 klausul 4 til 10 | Indeholder sine egne komplette klausuler 4 til 10 |
| Risikovurdering | Udvidet ISO 27001-proces for informationssikkerhedsrisiko | Dedikeret proces til risikovurdering af privatlivets fred |
| Anvendelseserklæring | Udvidet ISO 27001 SoA | Selvstændig SoA, der dækker ISO 27701 Bilag A kontrol |
| Certificeringsomfang | Altid kombineret med ISO 27001 | Selvstændigt eller kombineret, organisationens valg |
| Revisionsindsats | Yderligere revisionsdage ud over ISO 27001 | Kan være en enkelt, fokuseret privatlivsrevision |
Hvad er tidslinjen for overgangen?
Organisationer, der i øjeblikket er certificeret i henhold til ISO 27701:2019, skal overgå til 2025-udgaven senest oktober 2028Vigtige datoer:
- Nu — ISO 27701:2025 er offentliggjort, og certificeringsorganerne forbereder deres akkreditering
- 2025 til 2026 — Certificeringsorganer begynder at tilbyde ISO 27701:2025-certificeringsrevisioner
- oktober 2028 — Alle ISO 27701:2019-certifikater udløber. Organisationer skal være overgået til 2025-udgaven.
For organisationer, der er nye til ISO 27701, er der intet overgangskrav. I bør implementere 2025-udgaven direkte. For detaljeret overgangsvejledning, se vores overgangsvejledning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Kan man stadig kombinere ISO 27701 med ISO 27001?
Absolut. Selvom separat certificering nu er tilgængelig, kan organisationer, der har eller forfølger ISO 27001, stadig integrere de to standarder. Faktisk er der store fordele ved at gøre det:
- Delt styringssystem — Mange Punkt 4 op til 10 krav overlapper hinanden, hvilket reducerer dobbeltarbejde
- Integreret risikostyring — Vurder informationssikkerheds- og privatlivsrisici gennem en enkelt, koordineret proces
- Kombinerede revisioner — Reducer træthed i forbindelse med revisioner ved at kombinere overvågnings- og recertificeringsrevisioner
- Omfattende dækning — Håndtere både informationssikkerhed og privatliv i én ramme, der appellerer til kunder og tilsynsmyndigheder
Valget mellem standalone og integreret certificering afhænger af din organisations behov, eksisterende certificeringer og kundernes forventninger.
Hvorfor vælge ISMS.online for ISO 27701:2025-certificering?
ISMS.online er specialbygget til at fremskynde din vej til certificering:
Vigtige kontroller til forberedelse inkluderer A.1.2.6 Vurdering af indvirkning på privatlivets fred og A.1.2.9 Behandlingsregistreringer.
- Forkonfigureret PIMS-rammeværk — Start med en komplet ISO 27701:2025-struktur, inklusive alle klausuler og bilag A-kontroller, klar til tilpasning
- Builder til erklæring om anvendelighed — Generer og vedligehold din SoA med begrundelser, implementeringsstatus og evidenslinks
- Risikostyring — Integreret register over privatlivsrisici med vurderings- og behandlingsworkflows, der er i overensstemmelse med standarden
- Revisionsberedskab — Centraliseret indsamling af bevismateriale, dokumenthåndtering og revisionsspor, så du altid er klar til certificering
- Ekspert vejledning — Indbygget vejledning til hver klausul og kontrol, der hjælper dit team med at forstå, hvad der kræves, uden ekstern rådgivning
Ofte Stillede Spørgsmål
Skal jeg droppe ISO 27001 for at få en separat ISO 27701-certificering?
Nej. En selvstændig certificering betyder, at ISO 27001 ikke længere er en forudsætning, ikke at du ikke kan have begge dele. Hvis du allerede har ISO 27001, kan du beholde den og tilføje ISO 27701:2025 som enten en selvstændig eller integreret certificering. Den selvstændige mulighed giver blot organisationer fleksibiliteten til at certificere i henhold til ISO 27701 uden ISO 27001, hvis det bedre passer til deres behov.
Anerkendes en selvstændig certificering af GDPR-tilsynsmyndighederne?
ISO 27701-certificering (uanset om den er selvstændig eller integreret) er ikke en officiel GDPR-certificeringsmekanisme i henhold til artikel 42. Den er dog bredt anerkendt af tilsynsmyndigheder og industrien som et stærkt bevis på effektiv privatlivsstyring. Mange organisationer bruger ISO 27701-certificering til at demonstrere ansvarlighed i henhold til artikel 5(2) og til at opfylde kundeomsorgskrav i forbindelse med databehandlingsaftaler i henhold til artikel 28.
Hvor lang tid tager det at opnå en uafhængig ISO 27701-certificering?
For en velforberedt organisation tager implementeringsfasen typisk 3 til 6 måneder for mindre organisationer og 6 til 12 måneder for større eller mere komplekse. Revisionsprocessen tilføjer 4 til 8 uger. Ved at bruge en platform som ISMS.online kan reducere implementeringstidslinjen betydeligt ved at tilbyde præbyggede rammer, skabeloner og vejledning, der eliminerer behovet for at starte fra bunden.
For en detaljeret omkostningsfordeling efter organisationsstørrelse, se Hvor meget koster en ISO 27701:2025-certificering.
Vi undersøger, om investeringen betaler sig i vores guide: Er ISO 27701:2025-certificering det værd?.
Bekymret for overkommeligheden? Læs Er ISO 27701:2025 for dyr for SMV'er? for realistiske budgetter.
Stadig besluttet? Vores guide dækker om du har brug for ISO 27701:2025-certificering baseret på din sektor og situation.
