Hvorfor blev ISO 27701 revideret?
ISO 27701:2019 blev udgivet som en udvidelse af ISO 27001 og ISO 27002 og tilføjede privatlivsspecifikke krav og kontroller oven i et eksisterende informationssikkerhedsstyringssystem. Selvom denne tilgang havde fordele, skabte den praktiske problemer: organisationer skulle have ISO 27001-certificering, før de kunne certificere i henhold til ISO 27701, privatlivskontrollerne var spredt ud over flere klausuler, og strukturen stemte ikke helt overens med, hvordan organisationer håndterer privatliv i praksis.
2025-revisionen adresserer alle disse problemer. ISO 27701:2025 er en standard for selvstændigt styringssystem med sit eget komplette sæt af krav i punkt 4 til 10, en nydesignet Bilag A indeholdende 78 klart kategoriserede privatlivskontroller og nye kortlægningsbilag, der forbinder standarden med GDPR, ISO 29100 og dens forgænger fra 2019. For en fuld oversigt over, hvad der er ændret, se vores guide til Hvad er nyt i ISO 27701:2025.
Hvordan har strukturen ændret sig?
Den mest fundamentale ændring er, at ISO 27701:2025 ikke længere er en udvidet standard. Det er en komplet, selvstændig standard for et PIMS-system (Privacy Information Management System).
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Standard type | Udvidelse til ISO 27001/ISO 27002 | Standard for uafhængigt styringssystem |
| Forudsætning | ISO 27001-certificering påkrævet | Ingen forudsætning; selvstændig certificering mulig |
| Klausuler om ledelsessystemer | Suppleret ISO 27001 klausul 4 til 10 | Indeholder sine egne komplette klausuler 4 til 10 |
| Privatlivsstyringsindstillinger placering | Klausul 7 (dataansvarlig) og 8 (databehandler) med indlejrede kontroller | Bilag A med tre tabeller: A.1 Controller, A.2 Processor, A.3 Delt |
| Implementeringsvejledning | Ispækket med normative kontroller | Opdelt i bilag B (normativt) |
| Risikovurdering | Udvidet ISO 27001-proces for informationssikkerhedsrisiko | Dedikeret risikovurdering for privatlivets fred i Punkt 6 |
| Anvendelseserklæring | Udvidet ISO 27001 SoA | Selvstændig SoA, der dækker bilag A-kontroller |
| Klima forandring | Ikke adresseret | Inkluderet i medlemsskab Punkt 4.1 og 4.2 kontekstmæssige overvejelser |
| Certificering | Altid kombineret med ISO 27001 | Selvstændigt eller kombineret, organisationens valg |
Denne strukturelle ændring betyder, at organisationer, der søger privatlivscertificering, ikke længere først behøver at implementere et komplet informationssikkerhedsstyringssystem. For detaljer om, hvad en separat certificering indebærer, se vores separat certificeringsvejledning.
Punkt 4 til 10: Krav til selvstændige ledelsessystemer
I 2019-udgaven supplerede punkt 5 til 8 de tilsvarende ISO 27001-klausuler. 2025-udgaven indeholder helt selvstændige klausuler:
- Klausul 4 (Kontekst) — Fastlægger uafhængigt omfanget af PIMS, herunder det nye krav om at tage hensyn til relevansen af klimaændringer
- Punkt 5 (Ledelse) — Definerer den øverste ledelses ansvar for privatliv, herunder en privatlivspolitik og tildeling af roller
- Klausul 6 (Planlægning) — Introducerer en dedikeret proces til vurdering og behandling af privatlivets fredsrisiko, adskilt fra risikostyring for informationssikkerhed
- Punkt 7 (Støtte) — Dækker ressourcer, kompetence, bevidsthed, kommunikation og dokumenteret information til PIMS
- Punkt 8 (Operation) — Operationel planlægning og kontrol af privatlivsprocesser
- Punkt 9 (Ydelsesevaluering) — Overvågning, måling, intern revision og ledelsesgennemgang af PIMS
- Punkt 10 (Forbedring) — Afvigelseshåndtering, korrigerende handlinger og løbende forbedringer
Det betyder, at en organisation kan opbygge og certificere et komplet databeskyttelsessystem (Privacy Information Management System) uden at referere til ISO 27001 overhovedet. For en detaljeret gennemgang, se vores ISO 27701:2025 kravvejledning.
Hvordan er kontrolstrukturen i bilag A blevet omorganiseret?
2019-udgaven indlejrede privatlivskontroller i klausul 7 og 8, hvor normative krav blandes med implementeringsvejledning. Dette gjorde det vanskeligt at skelne mellem obligatoriske og rådgivende krav, og det komplicerede udarbejdelsen af en anvendelighedserklæring.
ISO 27701:2025 har en helt anden tilgang. Alle privatlivskontroller er nu i kraft. Bilag A, organiseret i tre overskuelige tabeller:
| Bordlampe | Anvendelsesområde | Antal kontroller | Gælder |
|---|---|---|---|
| Tabel A.1 | PII-controllerkontroller | 31 | Organisationer, der fungerer som dataansvarlige |
| Tabel A.2 | PII-processorkontroller | 18 | Organisationer, der fungerer som databehandlere |
| Tabel A.3 | Delte kontroller | 29 | Alle organisationer uanset rolle |
Implementeringsvejledningen er flyttet til bilag B, som er normativ og bruger "bør"-formulering til at give implementeringsanbefalinger. Denne adskillelse gør det nemmere at revidere standarden i forhold til den og tydeligere for organisationer at implementere den, fordi man kan se præcis, hvilke kontroller der er obligatoriske, og hvilken vejledning der understøtter dem.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvad skete der med de 150+ kontroller fra 2019-udgaven?
2019-udgaven indeholdt kontroller spredt ud over klausul 6, 7 og 8 (ca. 49 privatlivsspecifikke kontroller i klausul 7 og 8, plus over 90 PII-relaterede sikkerhedsunderklausuler i klausul 6), hvoraf mange var udvidelser af ISO 27002-kontroller. 2025-udgaven har 78 kontroller i bilag A. Dette repræsenterer ikke en reduktion i omfanget. I stedet er kontrollerne blevet konsolideret, omstruktureret og i mange tilfælde kombineret, hvor der var overlap.
Vigtige ændringer i kontrollandskabet:
- Konsolidering — Relaterede kontroller, der var spredt over flere klausuler i 2019, er blevet samlet i enkeltstående, omfattende kontroller i 2025
- Tydeligere kategorisering — Kontroller er nu eksplicit tildelt til controller, processor eller delte kategorier, hvilket eliminerer tvetydighed
- Fjernet duplikering — 2019-udgaven indeholdt kontroller, der overlappede ISO 27002-kravene. 2025-udgaven har sit eget dedikerede kontrolsæt, hvilket fjerner unødvendig overlapning.
- Nye kontroller — Nogle områder har fået nye eller betydeligt udvidede kontroller, især omkring automatiseret beslutningstagning (A.1.3.11 Automatiseret beslutningstagning), afidentifikation og anonymisering (A.1.4.6 Afidentifikation og sletning), og sikre udviklingspraksisser (A.3.27 Sikker udviklingslivscyklus)
For en detaljeret kortlægning mellem kontrolsættene fra 2019 og 2025 inkluderer ISO 27701:2025 Bilag F, som giver en komplet korrespondancetabel, der viser, hvordan hver kontrol i 2019 er relateret til dens tilsvarende i 2025.
Hvilke nye bilag er blevet tilføjet?
2025-udgaven introducerer opdaterede kortlægningsbilag og et helt nyt bilag (bilag F) sammen med de omstrukturerede bilag A og bilag B:
| Bilag | Emne | Type | Formål |
|---|---|---|---|
| A | Fortrolighedskontrol | Normativ | 78 obligatoriske kontroller i 3 tabeller (controller, processor, delt) |
| B | Implementeringsvejledning | Normativ | Detaljeret vejledning til implementering af hver kontrol i bilag A |
| C | Kortlægning til ISO/IEC 29100 | informativ | Forbinder kontroller til de 11 ISO 29100-privatlivsprincipper |
| D | Kortlægning til GDPR | informativ | Knytter kontroller til relevante GDPR-artikler for at sikre overholdelse af reglerne |
| E | Kortlægning til ISO 27018 og ISO 29151 | informativ | Korrespondance med standarder for cloud-privatliv og PII-beskyttelse |
| F | Korrespondance med ISO 27701:2019 | informativ | Komplet kortlægning mellem 2019 og 2025 kontroller til overgangsplanlægning |
Inkluderingen af Bilag D (GDPR-kortlægning) er særligt vigtig for europæiske organisationer, da den giver en officiel reference for, hvordan ISO 27701-kontroller stemmer overens med specifikke GDPR-artikler. Dette gør det betydeligt nemmere at bruge ISO 27701-certificering som bevis for GDPR-overholdelse.
Hvad er de vigtigste praktiske forskelle i implementeringen?
Ud over de strukturelle ændringer er der flere praktiske forskelle, der påvirker, hvordan organisationer implementerer standarden:
- Vurdering af risikoen for privatlivets fred — Klausul 6 kræver nu en dedikeret proces til risikovurdering af privatlivets fred, adskilt fra risikovurdering af informationssikkerhed. Denne skal specifikt omhandle risici for personoplysninger (registrerede), ikke kun risici for organisationen.
- Anvendelseserklæring — Du skal udarbejde en SoA for kontrollerne i bilag A, der dokumenterer hvilke kontroller der er relevante, din begrundelse for at inkludere eller udelukke hver enkelt, og implementeringsstatus. Dette er nu et eksplicit krav, ikke et arvet krav fra ISO 27001.
- Klima forandring — Efter ændringen af alle ISO-ledelsesstandarder i 2024 kræver punkt 4.1 og 4.2 nu, at organisationer overvejer, om klimaændringer er relevante for PIMS. Dette er en kortfattet overvejelse, ikke en detaljeret miljøvurdering.
- Tydeligere revisionsspor — Adskillelsen af normative kontroller (bilag A) fra implementeringsvejledning (bilag B) gør revisionsforberedelsen mere ligetil. Revisorer vurderer i forhold til bilag A; bilag B giver konteksten
- Forenklet dokumentation — Da standarden er selvstændig, behøver organisationer ikke at krydsreferere til ISO 27001 og ISO 27002 for at forstå deres forpligtelser. Alt er samlet i ét dokument.
Indvirkning på eksisterende dokumentation
Organisationer, der overgår fra 2019 til 2025, bør forvente at opdatere flere vigtige dokumenter:
- Privatlivspolitik — Skal afspejle det uafhængige PIMS-omfang i stedet for at henvise til ISO 27001 ISMS
- Metode for risikovurdering — Behov for at adressere privatlivsspecifikke risici for personoplysninger, ikke kun organisatoriske informationssikkerhedsrisici
- Anvendelseserklæring — Skal genopbygges i forhold til de 78 kontroller i bilag A med begrundelser for inkludering eller udelukkelse af hver enkelt.
- Behandling af optegnelser — Kontrolkravene for behandlingsregistre (A.1.2.9 Registrering af behandling af personoplysninger og A.2.2.7 Registrering af behandling af personoplysninger) er mere eksplicit defineret i 2025
- Intern revisionsprogram — Revisionskriterierne bør henvise til 2025-klausulens struktur og bilag A-kontrollerne
For en omfattende oversigt over kravene i 2025, se vores ISO 27701:2025 kravvejledning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad betyder dette for organisationer, der i øjeblikket er certificeret til 2019?
Hvis din organisation allerede har ISO 27701:2019-certificering, kræver overgangen til 2025 omhyggelig planlægning, men det betyder ikke, at man skal starte forfra. Meget af det arbejde, I allerede har udført, er fortsat gyldigt. Jeres eksisterende privatlivspolitikker, behandlingsregistre og mange af jeres driftsprocedurer vil blive videreført med opdateringer i stedet for en komplet udskiftning.
De vigtigste områder, der kræver opmærksomhed, er:
- Gapanalyse i forhold til bilag A — Knyt dine eksisterende 2019-kontroller til de 78 bilag A-kontroller ved hjælp af Bilag F som din reference. Identificer eventuelle nye kontroller, du ikke tidligere har behandlet
- Revurdering af risikoen for privatlivets fred — Din risikovurderingsmetode skal muligvis opdateres for at afspejle kravene i paragraf 6, som specifikt fokuserer på risici for personoplysninger snarere end organisatoriske informationssikkerhedsrisici.
- SoA-genopbygning — Din anvendelighedserklæring skal omskrives i henhold til den nye struktur i bilag A med begrundelser for hver af de 78 kontroller.
- Uafhængighedsgennemgang — Hvis du har til hensigt at certificere ISO 27701:2025 som en selvstændig standard, skal du sørge for, at din PIMS-dokumentation er selvstændig og ikke er afhængig af referencer til din ISO 27001 ISMS for fuldstændighed.
Hvad er tidslinjen for overgangen?
Organisationer, der i øjeblikket er certificeret i henhold til ISO 27701:2019, skal overgå til 2025-udgaven senest oktober 2028Vigtige milepæle:
- Nu — ISO 27701:2025 er udgivet og tilgængelig til implementering
- 2025 til 2026 — Certificeringsorganer gennemfører deres akkreditering og begynder at tilbyde ISO 27701:2025-audits
- oktober 2028 — Alle ISO 27701:2019-certifikater udløber. Overgangen skal være fuldført
Overgangsvinduet på tre år er generøst, men organisationer bør ikke vente til sidste øjeblik. Tidlige brugere vil drage fordel af mindre konkurrence om tilgængelighed af revisorer og mere tid til at afhjælpe eventuelle huller, der identificeres under implementeringen.
Organisationer, der er nye til ISO 27701, bør implementere 2025-udgaven direkte. Der er ingen fordel ved at implementere 2019-udgaven på nuværende tidspunkt, da den vil blive trukket tilbage ved udgangen af overgangsperioden. For trinvis overgangsplanlægning, se vores overgangsvejledning.
Hvorfor vælge ISMS.online til din overgang?
ISMS.online er specialbygget til at hjælpe organisationer med at navigere i overgangen fra 2019 til 2025 og opnå certificering effektivt:
- Præbygget ISO 27701:2025-rammeværk — Start med den komplette klausulstruktur, hvor alle 78 kontroller i bilag A og implementeringsvejledning allerede er kortlagt og klar til tilpasning
- Værktøjer til gapanalyse — Identificer præcist, hvor jeres eksisterende PIMS opfylder kravene i 2025, og hvor der er behov for yderligere arbejde
- Builder til erklæring om anvendelighed — Generer og vedligehold din SoA med kontrolbegrundelser, implementeringsstatus og tilknyttet dokumentation
- Register over privatlivsrisici — Integrerede risikovurderings- og behandlingsarbejdsgange i overensstemmelse med kravene i paragraf 6
- Dashboard for revisionsberedskab — Spor dine fremskridt, centraliser dokumentation og sørg for, at du er klar til certificering inden din revisionsdato
Ofte Stillede Spørgsmål
Skal jeg recertificeres under 2025-udgaven?
Ja. Alle ISO 27701:2019-certifikater skal være overført til 2025-udgaven senest i oktober 2028. Dette kan gøres under en planlagt overvågnings- eller recertificeringsrevision eller gennem en dedikeret overgangsrevision. Jeres certificeringsorgan vil vurdere jeres PIMS i forhold til 2025-kravene, herunder de omstrukturerede bilag A-kontroller og de nye krav til risikovurdering i henhold til paragraf 6.
Kan jeg bruge min eksisterende ISO 27001 ISMS sammen med ISO 27701:2025?
Absolut. ISO 27701:2025 er designet til at fungere både som en selvstændig standard og som et supplement til ISO 27001. Hvis du allerede har et ISMS på plads, kan du integrere dit PIMS med det og dele fælles ledelsessystemelementer såsom dokumentkontrol, intern revision og ledelsesgennemgang. Mange organisationer vil vælge denne tilgang for at undgå dobbeltarbejde på tværs af de to systemer.
Hvad er fristen for overgangen fra ISO 27701:2019?
Overgangsfristen er oktober 2028. Efter denne dato vil alle ISO 27701:2019-certifikater ikke længere være gyldige. Organisationer bør planlægge deres overgang i god tid for at sikre tilgængelighed af revisorer og give tilstrækkelig tid til eventuelle nødvendige ændringer i deres system til håndtering af databeskyttelse.
Identificer præcis, hvor dit nuværende PIMS mangler med vores Trin-for-trin guide til gapanalyse.
Se den hurtigste vej til certificering for en realistisk tidslinje baseret på dit udgangspunkt.
Lær af andre og gennemgå de mest almindelige implementeringsfejl.
