Hvad kræver paragraf 7?
Klausul 7 sikrer, at dit Privacy Information Management System (PIMS) har den nødvendige understøttende infrastruktur til at fungere effektivt. Punkt 5 sætter retningen fra toppen, og paragraf 7 sørger for, at det praktiske grundlag er på plads: mennesker, færdigheder, bevidsthed, kommunikationskanaler og dokumentation.
7.1 Ressourcer
Organisationen skal fastlægge og stille de nødvendige ressourcer til rådighed til etablering, implementering, vedligeholdelse og løbende forbedring af PIMS. Ressourcerne omfatter:
- Medarbejdere — Tilstrækkeligt personale med passende tid afsat til privatlivsstyringsaktiviteter
- budget — Finansielle ressourcer til værktøjer, træning, rådgivning og certificering
- Teknologier — Systemer og værktøjer til at understøtte privatlivsaktiviteter, overvågning og rapportering
- Infrastruktur — Fysiske og logiske miljøer, der er nødvendige for sikker behandling af personoplysninger
7.2 Kompetence
Organisationen skal:
- Fastlæg den nødvendige kompetence hos personer, der udfører arbejde under dens kontrol, som påvirker privatlivets fred
- Sørg for, at disse personer er kompetente på baggrund af relevant uddannelse, træning eller erfaring
- Hvor det er relevant, træffe foranstaltninger for at erhverve den nødvendige kompetence og evaluere effektiviteten af disse handlinger
- Opbevar relevante dokumenterede oplysninger som bevis på kompetence
Kompetencekravene bør ikke blot omfatte dedikeret personale til beskyttelse af personlige oplysninger, men også alle, hvis arbejde påvirker behandling af personoplysninger, herunder udviklere, kundeserviceteams, HR- og marketingpersonale.
7.3 Bevidsthed
Personer, der udfører arbejde under organisationens kontrol, skal være opmærksomme på:
- Privatlivspolitikken
- Deres bidrag til PIMS' effektivitet, herunder fordelene ved forbedret privatlivseffektivitet
- Konsekvenserne af ikke at overholde PIMS-kravene
Bevidsthed rækker ud over formel træning. Det betyder at sikre, at alle forstår, hvorfor privatliv er vigtigt, hvad deres rolle er i at beskytte personoplysninger, og hvad der sker, når tingene går galt.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
7.4 Kommunikation
Organisationen skal fastlægge behovet for intern og ekstern kommunikation relevant for PIMS, herunder:
- Hvad skal man kommunikere
- Hvornår skal man kommunikere
- Hvem man skal kommunikere med
- Hvordan man kommunikerer
Dette dækker kommunikation med personoplysninger (registrerede), tilsynsmyndigheder, kunder, personale og andre interesserede parter. Effektiv kommunikationsplanlægning sikrer, at personoplysninger når de rigtige personer på det rigtige tidspunkt.
7.5 Dokumenteret information
7.5.1 Generelt
PIMS-systemet skal indeholde dokumenterede oplysninger, som kræves af standarden, og dokumenterede oplysninger, som organisationen vurderer som nødvendige for PIMS' effektivitet. Omfanget af dokumentationen kan variere afhængigt af organisationens størrelse, aktiviteter, processer og medarbejdernes kompetencer.
7.5.2 Oprettelse og opdatering
Ved oprettelse og opdatering af dokumenteret information skal organisationen sikre passende:
- Identifikation og beskrivelse (titel, dato, forfatter, referencenummer)
- Format (sprog, softwareversion, grafik) og medier (papir, elektronisk)
- Gennemgang og godkendelse af egnethed og tilstrækkelighed
7.5.3 Kontrol af dokumenteret information
Dokumenterede oplysninger, der kræves af PIMS, skal kontrolleres for at sikre, at de er:
- Tilgængelig og egnet til brug, hvor og når det er nødvendigt
- Tilstrækkeligt beskyttet (mod tab af fortrolighed, forkert brug eller tab af integritet)
Kontrolaktiviteter omfatter distribution, adgang, hentning, brug, opbevaring, bevaring, kontrol af ændringer, opbevaring og bortskaffelse. Dette er især vigtigt for dokumentation vedrørende privatlivets fred, som i sig selv kan indeholde følsomme oplysninger om behandlingsaktiviteter.
Hvordan hænger dette sammen med GDPR?
- Artikel 39 (1) (b) — Databeskyttelsesrådgiverens opgaver omfatter overvågning af bevidstgørelse og uddannelse af personale i overensstemmelse med 7.2 og 7.3
- artikel 30 — Krav til registrering af behandlingsaktiviteter stemmer overens med de dokumenterede informationskontroller i 7.5
- Artikel 5 (2) — Ansvarlighedsprincippet kræver evnen til at påvise overholdelse, understøttet af omfattende dokumentation
- Artikel 32 (4) — Sikring af, at personer, der handler under myndighed, har passende kompetence og viden
For den komplette GDPR-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
- Selvstændige krav — I 2019 supplerede paragraf 5.5 ISO 27001 paragraf 7. Nu er supportkravene komplette og uafhængige.
- Privatlivsspecifik kompetence — Kompetencekravene refererer nu eksplicit til privatlivspræstationer snarere end informationssikkerhed
- Tydeligere dokumentationsomfang — De dokumenterede informationskrav er nu specifikt begrænset til PIMS i stedet for at udvide et ISMS
For et bredere overblik, se Hvad er nyt i ISO 27701:2025.
se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
- Ressourceallokeringsregistre — Budgetgodkendelser, bemandingsplaner og beslutninger om indkøb af værktøj
- Træningsrekorder — Dokumentation for privatlivsrelateret træning, certificeringer og løbende faglig udvikling
- Kompetencevurderinger — Optegnelser, der viser, hvordan kompetencen blev evalueret for privatlivsrelevante roller
- Oplysningsprogram — Dokumentation for oplysningsaktiviteter (introduktion, opfriskningskurser, kommunikationskampagner)
- Kommunikationsplan — En dokumenteret plan, der dækker intern og ekstern privatlivskommunikation
- Dokumentkontrolprocedurer — Dokumentation for, at dokumenterede oplysninger er korrekt identificeret, godkendt, kontrolleret og beskyttet
- Dokumentregister — En liste over alle PIMS-dokumenterede oplysninger med versionskontrol og gennemgangsdatoer
Kravene til bevidsthed og kompetence knytter sig til A.3.17 Bevidstgørelse og træning i de delte sikkerhedskontroller.
Undgå almindelige faldgruber i dokumentationen ved at gennemgå de mest almindelige implementeringsfejl.
Relaterede klausuler
| Klausul | Relationship |
|---|---|
| Punkt 5: Ledelse | Topledelsen skal sikre, at der er ressourcer til rådighed (5.1), og at politikken kommunikeres |
| Punkt 6: Planlægning | Risikohåndteringsplaner og -mål skal dokumenteres i henhold til kravene i 7.5. |
| Punkt 8: Betjening | Operationelle processer er afhængige af dokumenterede procedurer og kompetent personale |
| Punkt 9: Præstationsevaluering | Resultater af intern revision og ledelsesgennemgang skal opbevares som dokumenteret information |
Se også Klausul 4 (Kontekst) for kontekst og Klausul 10 (Forbedring) til løbende forbedringer.
Hvorfor vælge ISMS.online for overholdelse af paragraf 7?
ISMS.online tilbyder omfattende supportværktøjer til dit PIMS:
- Dokumenthåndtering — Fuld versionskontrol, godkendelsesworkflows, adgangskontroller og revisionsspor for al PIMS-dokumentation
- Træningstracker — Registrer træningsaktiviteter, certificeringer og kompetencevurderinger med automatiske påmindelser om genopfriskningstræning
- Bevidsthedskampagner — Opret, distribuer og spor materiale til bevidstgørelse om privatlivets fred med sporing af færdiggørelse
- Kommunikationslog — Registrer intern og ekstern kommunikation med tidsstempler og bevislinks
- Skabelonbibliotek — Færdigbyggede skabeloner til politikker, procedurer, optegnelser og formularer i overensstemmelse med ISO 27701:2025
Ofte Stillede Spørgsmål
Hvilken privatlivstræning har personalet brug for?
Uddannelseskravene afhænger af rollen. Alle medarbejdere bør modtage generel uddannelse i privatlivsbevidsthed, der dækker privatlivspolitikken, deres ansvar og hvordan man rapporterer hændelser. Personale i privatlivsspecifikke roller (databeskyttelsesrådgivere, privatlivsanalytikere, hændelsesresponspersoner) har brug for dybere teknisk og lovgivningsmæssig uddannelse. Udviklere og IT-personale har brug for uddannelse i principperne om databeskyttelse gennem design. Uddannelsen bør dokumenteres og regelmæssigt opdateres.
Hvor meget dokumentation kræver et PIMS?
Standarden kræver specifik dokumenteret information (privatlivspolitik, risikovurderinger, SoA, revisionsresultater, output fra ledelsens gennemgang) plus den yderligere dokumentation, du finder nødvendig. Omfanget varierer afhængigt af organisationens størrelse og kompleksitet. Fokuser på dokumentation, der tilfører værdi og understøtter effektiv privatlivsstyring, i stedet for at oprette dokumenter udelukkende med henblik på compliance.
Kan elektronisk dokumenthåndtering erstatte papirdokumenter?
Ja. Standarden foreskriver ikke noget bestemt format eller medie til dokumenteret information. Elektroniske systemer foretrækkes typisk, da de tilbyder bedre versionskontrol, adgangsstyring, søgefunktioner og revisionsspor. Uanset hvilket system du bruger, skal det opfylde kontrolkravene i 7.5.3, herunder tilgængelighed, beskyttelse, adgangskontrol og opbevaringsstyring.
For specifik vejledning om, hvad revisorer forventer, se vores krav til revisionsbeviser guide.
Hvis du har brug for ekstern support, kan du læse vores guide om hvordan man vælger en ISO 27701:2025-konsulent.
