Spring til indhold
ISMS.online

ISO 27701:2025 Klausul 4: Organisationens kontekst

Klausul 4 er udgangspunktet for dit system til styring af personoplysninger (PIMS). Det kræver, at du forstår din organisations kontekst, identificerer interesserede parter, definerer omfanget af dit PIMS og afgør, om du fungerer som PII-ansvarlig, databehandler eller begge dele.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver paragraf 4?

Klausul 4 etablerer grundlaget for jeres Privacy Information Management System (PIMS) ved at kræve, at I forstår den kontekst, hvori jeres organisation opererer, hvem jeres interessenter er, og hvilket omfang jeres PIMS dækker. Den består af fire underklausuler, der bygger på hinanden for at skabe et komplet billede af jeres privatlivslandskab.

4.1 Forståelse af organisationen og dens kontekst

Organisationen skal fastlægge de eksterne og interne problemstillinger, der er relevante for dens formål, og som påvirker dens evne til at opnå de tilsigtede resultater med PIMS. Dette omfatter:

  • Eksterne problemer — Lovgivning og regler om beskyttelse af personlige oplysninger (såsom GDPR), branchekrav, kontraktlige forpligtelser, teknologisk udvikling og konkurrencemiljøet
  • Interne problemer — Organisationskultur, ledelsesstruktur, eksisterende politikker, ressourcetilgængelighed og medarbejderkompetence
  • Klimaændringer (punkt 4.1 og 4.2) — En ny tilføjelse i 2025-udgaven, der kræver, at organisationer skal afgøre, om klimaændringer er et relevant problem, der kan påvirke PIMS
  • Rollen som dataansvarlig eller databehandler — Organisationen skal afgøre, om den fungerer som PII-ansvarlig, PII-behandler eller begge dele, da dette afgør hvilken Bilag A kontrollerer ansøge

4.2 Forståelse af interesserede parters behov og forventninger

Organisationen skal identificere de interessenter, der er relevante for dens PIMS, og forstå deres krav. De vigtigste interessenter omfatter typisk:

  • PII-principper — De personer, hvis personoplysninger behandles
  • Kunder — Uanset om de fungerer som PII-ansvarlige, der engagerer din organisation som databehandler, eller som databehandlerkunder, der leverer data
  • Regulatorer og tilsynsmyndigheder — Databeskyttelsesmyndigheder med tilsynsansvar
  • Medarbejdere og entreprenører — Personale involveret i behandling af personoplysninger
  • Tredjeparter og underleverandører — Enheder involveret i forsyningskæden, der kan behandle personoplysninger

For hver interesseret part skal du fastslå, hvilke af deres krav der er relevante for PIMS, og hvilke der vil blive adresseret via ledelsessystemet.

4.3 Fastlæggelse af PIMS' omfang

Organisationen skal fastlægge PIMS' grænser og anvendelighed for at fastlægge dens omfang. Ved fastlæggelsen af ​​omfanget skal organisationen tage hensyn til:

  • De eksterne og interne problemer identificeret i 4.1
  • De interesserede parters krav, der er identificeret i 4.2
  • Grænsefladerne og afhængighederne mellem aktiviteter udført af organisationen og dem, der udføres af andre organisationer
  • De PII-behandlingsaktiviteter, der er omfattet af omfanget, herunder typer af PII, kategorier af PII-principper og behandlingsformål

Omfanget skal dokumenteres og stilles til rådighed som dokumenteret information.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


4.4 System til styring af privatlivsoplysninger

Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et PIMS, herunder de nødvendige processer og deres interaktioner, i overensstemmelse med standardens krav. Dette er det overordnede krav, der binder alle efterfølgende klausuler sammen.

Hvordan hænger dette sammen med GDPR?

Paragraf 4 understøtter flere GDPR krav:

  • artikel 24 — Den dataansvarliges ansvar, der kræver, at organisationer gennemfører passende foranstaltninger under hensyntagen til behandlingens art, omfang, kontekst og formål
  • artikel 25 — Databeskyttelse gennem design og som standard, hvilket understøttes af en forudgående forståelse af kontekst og omfang
  • artikel 26 — Fælles dataansvarlige, relevante for fastlæggelsen af ​​din rolle som dataansvarlig eller databehandler
  • artikel 28 — Krav til databehandler, som afhænger af korrekt identifikation af din rolle i henhold til punkt 4.1
  • artikel 30 — Registrering af behandlingsaktiviteter, hvilket kræver forståelse af omfanget af behandling af personoplysninger

Hvad har ændret sig fra ISO 27701:2019?

Vigtigste ændringer i paragraf 4 sammenlignet med 2019-udgaven:

  • Krav til separate løsninger — I 2019 supplerede paragraf 5.2 ISO 27001 paragraf 4. Kravene er nu selvstændige og fuldstændige.
  • Hensyntagen til klimaforandringer — Nyt krav i punkt 4.1 og 4.2 om at vurdere, om klimaændringer er et relevant problem
  • Eksplicit rollebestemmelse — Kravet om at fastslå den dataansvarliges eller databehandlerens status er nu klart integreret i kontekstanalysen
  • Omfang af behandling af personoplysninger — Større vægt på at dokumentere de typer og kategorier af personoplysninger, der er omfattet af omfanget

For den fulde oversigt mellem klausulerne for 2019 og 2025, se Bilag F korrespondancetabel.

Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af paragraf 4 vil revisorer typisk se på:

  • Dokument om kontekstanalyse — En formel vurdering af interne og eksterne problemstillinger, der er relevante for PIMS
  • Interesserede registrerer sig — En dokumenteret liste over relevante interessenter, deres krav og hvordan disse imødekommes
  • PIMS-omfangserklæring — Et klart, dokumenteret omfang, der definerer PIMS' grænser og anvendelighed
  • Rollebestemmelse — Dokumenteret bevis for, hvordan du har fastslået, om du fungerer som dataansvarlig, databehandler eller begge dele
  • PII-beholdning — Et register over PII-typer, kategorier af PII-principper og behandlingsformål inden for anvendelsesområdet


ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Relaterede klausuler

Klausul Relationship
Punkt 5: Ledelse Ledelsens engagement og privatlivspolitik er informeret af kontekstanalysen
Punkt 6: Planlægning Risikovurdering og mål er baseret på det omfang og den kontekst, der er fastlagt her
Punkt 8: Betjening Driftsprocesser skal operere inden for det definerede omfang

Hvorfor vælge ISMS.online for overholdelse af paragraf 4?

ISMS.online tilbyder strukturerede værktøjer til at etablere din PIMS-kontekst:

  • Skabeloner til kontekstanalyse — Præbyggede rammer til identifikation og dokumentation af interne og eksterne problemstillinger, der er relevante for privatlivets fred
  • Interesserede registrerer sig — Vedligehold et dynamisk register over interessenter med deres krav og hvordan du imødekommer dem
  • Omfangsstyring — Definer og dokumenter dit PIMS-omfang med klare grænser, herunder PII-behandlingsaktiviteter
  • Rollekortlægning — Dokumentér dine roller som dataansvarlig og databehandler på tværs af forskellige behandlingsaktiviteter
  • Gap-analyse — Identificer, hvor jeres nuværende praksis opfylder kravene i paragraf 4, og hvor der er behov for forbedringer.

Ofte Stillede Spørgsmål

Kan PIMS-omfanget være snævrere end hele organisationen?

Ja. Omfanget kan dække specifikke forretningsenheder, lokationer, behandlingsaktiviteter eller produktlinjer. Omfanget skal dog være begrundet og dokumenteret, og du skal tage højde for, hvordan grænseflader med områder uden for omfanget håndteres. Revisorer vil kontrollere, at omfanget er passende og ikke kunstigt snævert for at undgå at adressere centrale privatlivsrisici.

Hvordan fungerer klimakravet i praksis?

Kravet er at afgøre, om klimaændringer er et relevant problem, ikke at udføre en fuldstændig miljøvurdering. For de fleste organisationer betyder det kort at overveje, om klimarelaterede begivenheder (såsom ekstremt vejr, lovgivningsmæssige ændringer eller forstyrrelser i forsyningskæden) kan påvirke PIMS. Dokumenter dine overvejelser og konklusioner som en del af din kontekstanalyse.

Hvad hvis vores organisation fungerer som både dataansvarlig og databehandler?

Mange organisationer fungerer som begge dele afhængigt af behandlingsaktiviteten. Du skal identificere, hvilken rolle der gælder for hver behandlingsaktivitet, og dokumentere dette tydeligt. Begge sæt af Bilag A kontrollerer (Tabel A.1 for controllere og Tabel A.2 for databehandlere) vil derefter gælde for de relevante aktiviteter, sammen med de delte kontroller i Tabel A.3.

En grundig mangelanalyse hjælper dig med at definere dit omfang ved at identificere, hvor dit nuværende PIMS opfylder – eller ikke opfylder – disse krav.

SaaS-organisationer står ofte over for unikke udfordringer med at bestemme deres rolle i behandlingen – se vores vejledning til SaaS-platforme.

Er du usikker på, om certificering er nødvendig? Vores guide dækker om du har brug for ISO 27701:2025-certificering.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.