Spring til indhold
ISMS.online

ISO 27701:2025 Klausul 5: Lederskab

Klausul 5 kræver, at topledelsen udviser lederskab og engagement i PIMS, etablerer en privatlivspolitik og tildeler roller, ansvar og beføjelser til privatlivsstyring på tværs af organisationen.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver paragraf 5?

Klausul 5 etablerer fundamentet for ledelse og styring af jeres Privacy Information Management System (PIMS). Det sikrer, at privatlivets fred drives fra toppen af ​​organisationen med klar ansvarlighed, en defineret politik og tildelte ansvarsområder. Klausulen har tre underklausuler, der dækker forpligtelse, politik og roller.

5.1 Ledelse og engagement

Topledelsen skal demonstrere lederskab og engagement i forhold til PIMS ved at:

  • Sikring af, at privatlivspolitikken og privatlivsmålene er etableret og forenelige med organisationens strategiske retning.
  • Sikring af integration af PIMS-kravene i organisationens forretningsprocesser
  • Sikring af, at de nødvendige ressourcer til PIMS er tilgængelige
  • Kommunikation af vigtigheden af ​​effektiv privatlivsstyring og overholdelse af PIMS-krav
  • Sikring af, at PIMS opnår de tilsigtede resultater
  • Vejledning og støtte til personer, der bidrager til PIMS' effektivitet
  • Fremme af løbende forbedringer
  • Støtte til andre relevante ledelsesroller for at demonstrere deres lederskab, idet det gælder for deres ansvarsområder

Disse otte ansvarsområder gør det klart, at privatliv ikke er en delegeret IT-funktion. Topledelsen skal være aktivt engageret og ansvarlig.

5.2 Privatlivspolitik

Den øverste ledelse skal udarbejde en privatlivspolitik, der:

  • Er passende for organisationens formål
  • Giver en ramme for fastsættelse af privatlivsmål
  • Inkluderer en forpligtelse til at opfylde gældende krav
  • Inkluderer en forpligtelse til løbende forbedring af PIMS

Privatlivspolitikken skal også opfylde tre tilgængelighedskrav:

  • Vær tilgængelig som dokumenteret information
  • Skal kommunikeres internt i organisationen
  • Vær tilgængelig for interesserede parter, hvor det er relevant

Bemærk, at den privatlivspolitik, der henvises til her, er dokumentet om styringssystemets politik, ikke den eksterne privatlivsmeddelelse, der gives til de registrerede. Begge er nødvendige, men de tjener forskellige formål.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


5.3 Roller, ansvar og beføjelser

Topledelsen skal sikre, at ansvar og beføjelser for roller, der er relevante for PIMS, tildeles og kommunikeres inden for organisationen. Specifikt skal topledelsen tildele ansvar og beføjelser for:

  • Sikring af overensstemmelse — At PIMS overholder kravene i ISO 27701:2025
  • Rapporteringspræstation — At PIMS' præstation rapporteres til topledelsen

Det betyder ikke, at én person skal gøre alt. Ansvar kan fordeles på tværs af roller såsom en databeskyttelsesrådgiver (DPO), privatlivschef, PIMS-leder eller compliance-team. Hovedkravet er, at ansvarsområderne er klart defineret, dokumenteret og kommunikeret.

Hvordan hænger dette sammen med GDPR?

Paragraf 5 understøtter flere GDPR krav:

  • artikel 24 — Den dataansvarliges ansvar for at implementere passende foranstaltninger og kunne påvise overholdelse af reglerne
  • Artikel 37 til 39 (relaterede bestemmelser, ikke formelt kortlagt i bilag D) (relaterede bestemmelser, ikke formelt kortlagt i bilag D) — Udpegelse, stilling og opgaver for databeskyttelsesrådgiveren, som er i overensstemmelse med kravene til rolletildeling i 5.3
  • Betragtning 39 — Princippet om gennemsigtighed, understøttet af en klar privatlivspolitik

Organisationer, der er underlagt GDPR, bør sikre, at deres rolle som databeskyttelsesrådgiver (hvor en sådan er udpeget) afspejles i PIMS-rolletildelingerne i henhold til punkt 5.3.

Hvad har ændret sig fra ISO 27701:2019?

Vigtigste ændringer i paragraf 5 sammenlignet med 2019-udgaven:

For en bredere oversigt over ændringerne, se Hvad er nyt i ISO 27701:2025.

  • Selvstændige krav — I 2019 supplerede paragraf 5.3 ISO 27001 paragraf 5. Lederskabskravene er nu komplette og uafhængige.
  • Privatlivspolitik — Politikkravene henviser nu eksplicit til privatlivets fred i stedet for at være afhængige af en ændret informationssikkerhedspolitik
  • Otte engagementsområder — Kravene til lederskabsengagement er nu tydeligt opregnet, hvilket gør det lettere for revisorer at vurdere
  • Forenklede rollekrav — 2025-udgaven fokuserer på overensstemmelsessikring og præstationsrapportering snarere end at liste specifikke privatlivsroller

For den fulde kortlægning, se Bilag F korrespondancetabel.

Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af paragraf 5 vil revisorer typisk se på:

Kravet om privatlivspolitik er direkte knyttet til A.3.3 Politikker for informationssikkerhed i kontrolsættet i bilag A.

IT-chefer, der integrerer privatliv i deres sikkerhedsprogram, bør læse vores CISO-vejledning til ISO 27701:2025.

  • Referat af ledelsesgennemgang — Dokumentation for topledelsens engagement i PIMS-præstationer og -beslutninger
  • Dokument om privatlivspolitik — En godkendt, aktuel politik, der opfylder alle fire indholdskrav og tre tilgængelighedskrav
  • Ressourceallokering — Budget- og personaledokumentation, der viser, at der er tilstrækkelige ressourcer til PIMS
  • Rollebeskrivelser — Dokumenterede tildelinger af PIMS-ansvar, herunder hvem der rapporterer til topledelsen
  • Kommunikationsoptegnelser — Dokumentation for, at politikken og dens betydning er blevet kommunikeret til personalet
  • Organisationsdiagram — Viser, hvor privatlivsrollerne er placeret i organisationens struktur


klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Relaterede klausuler

Klausul Relationship
Klausul 4: Kontekst Privatlivspolitikken og ledelsens retning skal være forenelige med kontekstanalysen
Punkt 6: Planlægning Politikken giver rammerne for fastsættelse af privatlivsmål (6.2).
Punkt 7: Support Krav til ressourcer, kompetencer og bevidsthed afhænger af, at ledelsen yder tilstrækkelig støtte
Punkt 9: Præstationsevaluering Ledelsesevaluering (9.3) er det sted, hvor topledelsen udøver sin lederrolle i praksis

Se også Klausul 8 (drift) for hvordan ledelsesdirektiver operationaliseres.

Hvorfor vælge ISMS.online for overholdelse af paragraf 5?

ISMS.online giver værktøjerne til at demonstrere lederskab og styring:

For certificeringsplanlægning, se separat certificeringsvejledning.

  • Politikstyring — Opret, godkend og versionsstyr din privatlivspolitik med fuldt revisionsspor og distributionssporing
  • Rolletildeling — Definer og dokumenter PIMS-roller med ansvar, beføjelser og rapporteringslinjer
  • Ledelsesgennemgang — Strukturerede skabeloner til ledelsesmøder med dagsordenspunkter, input og handlingssporing
  • Kommunikationssporing — Registrer og dokumentér, hvordan privatlivspolitikker og forventninger kommunikeres til personalet
  • Rapportering af betjeningspanel — Giv topledelsen et hurtigt overblik over PIMS-præstationsdata til informeret beslutningstagning

Ofte Stillede Spørgsmål

Hvem tæller som "topledelse" i henhold til paragraf 5?

Topledelse defineres som den person eller gruppe af personer, der leder og kontrollerer organisationen på højeste niveau. I praksis betyder dette typisk administrerende direktør, bestyrelsen, den øverste ledelse eller tilsvarende. Den vigtigste test er, om de har beføjelse til at allokere ressourcer, fastsætte politisk retning og træffe strategiske beslutninger om PIMS.

Er privatlivspolitikken det samme som en privatlivsmeddelelse?

Nej. Den privatlivspolitik, der kræves i henhold til paragraf 5.2, er et internt styringssystemdokument, der fastsætter den overordnede retning og principper for privatlivsstyring. En privatlivsmeddelelse (eller privatlivserklæring) er et eksternt dokument, der leveres til registrerede, og som forklarer, hvordan deres personoplysninger behandles. Begge er nødvendige, men de tjener forskellige målgrupper og formål.

Har organisationen brug for en udpeget databeskyttelsesrådgiver?

ISO 27701:2025 pålægger ikke en databeskyttelsesrådgiver. Den kræver, at ansvarsområder og beføjelser tildeles og kommunikeres. Men hvis din gældende lovgivning (såsom GDPR artikel 37 til 39) kræver en databeskyttelsesrådgiver, bør denne rolle afspejles i dine rolletildelinger i henhold til klausul 5.3. Selv hvor det ikke er lovpligtigt, er det god praksis at udpege en databeskyttelsesleder eller tilsvarende.

At få lederskab med om bord er ofte den første forhindring — vores guide til at få ledelsens opbakning giver praktiske strategier.

Del vores Resumé for bestyrelsesmedlemmer at give ledende medarbejdere et kort overblik over standarden.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.