Spring til indhold
ISMS.online

ISO 27701:2025 Klausul 8: Drift

Klausul 8 dækker den operationelle udførelse af dine PIMS-planer. Den kræver, at du implementerer operationelle kontroller, udfører risikovurderinger for privatlivets fred med planlagte intervaller og implementerer din plan for håndtering af risikoen for privatlivets fred.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver paragraf 8?

Klausul 8 er "Udfør"-fasen i PDCA-cyklussen. Mens Punkt 6 definerer, hvordan du planlægger dine risikostyringsaktiviteter. Klausul 8 kræver, at du rent faktisk udfører disse planer i den daglige drift. Det er en bevidst kortfattet klausul med tre underklausuler, der fokuserer på at omsætte planer til handling.

8.1 Operationel planlægning og kontrol

Organisationen skal planlægge, implementere og kontrollere de processer, der er nødvendige for at opfylde PIMS-kravene og for at implementere de handlinger, der er fastsat i Punkt 6, ved:

  • Fastlæggelse af kriterier for processerne — Definering af, hvad "godt" ser ud for hver enkelt operationel proces
  • Implementering af kontrol over processerne — Anvendelse af kriterierne i praksis gennem procedurer, arbejdsinstruktioner og kontroller
  • Opbevaring af dokumenterede oplysninger — Opbevaring af dokumentation for, at processerne er blevet udført som planlagt

Organisationen skal også kontrollere planlagte ændringer og gennemgå konsekvenserne af utilsigtede ændringer og om nødvendigt træffe foranstaltninger for at afbøde eventuelle negative virkninger.

Hvor processer leveres eksternt (outsources), skal organisationen sikre, at disse kontrolleres. Dette er især relevant for behandling af personoplysninger, hvor outsourcede aktiviteter kan involvere underleverandører, der håndterer personoplysninger på dine vegne.

8.2 Risikovurdering for privatlivets fred

Organisationen skal udføre risikovurderinger for privatlivets fred med planlagte intervaller, eller når der foreslås eller forekommer væsentlige ændringer, under hensyntagen til de kriterier, der er fastsat i Punkt 6.1.2.

Det betyder, at risikovurderingen ikke er en engangsaktivitet. Den skal gentages:

  • Med planlagte intervaller — De fleste organisationer fastsætter en årlig cyklus, selvom miljøer med højere risiko kan kræve hyppigere vurdering
  • Når der sker ændringer — Nye behandlingsaktiviteter, systemændringer, regulatoriske opdateringer, organisatorisk omstrukturering eller sikkerhedshændelser bør udløse en revurdering
  • Når der foreslås ændringer — Proaktiv vurdering før ændringer implementeres, ikke kun reaktiv vurdering bagefter

Resultaterne af risikovurderinger for privatlivets fred skal opbevares som dokumenteret information.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


8.3 Håndtering af privatlivsrisici

Organisationen skal implementere planen for håndtering af privatlivsrisici. Resultaterne af håndteringen af ​​privatlivsrisici skal opbevares som dokumenteret information.

Selvom denne underparagraf er kort, er dens implikationer betydelige. Den kræver, at du:

  • Udfør alle behandlingstiltag, der er defineret i din risikobehandlingsplan fra Punkt 6.1.3
  • Implementer de kontroller, der er identificeret i din erklæring om anvendelighed
  • Overvåg implementeringsstatus for behandlingstiltag
  • Dokumentér resultaterne, inklusive eventuelle resterende risici efter behandlingen

Revisorer vil sammenligne din risikohåndteringsplan (fra Punkt 6) med den faktiske implementeringsdokumentation (fra paragraf 8) for at verificere, at planerne er blevet fulgt til ende.

Hvordan hænger dette sammen med GDPR?

  • artikel 32 — Behandlingssikkerhed, der kræver implementering af passende tekniske og organisatoriske foranstaltninger. Punkt 8.3 er, hvor disse foranstaltninger omsættes til praksis
  • artikel 35 — Konsekvensanalyser af databeskyttelse (DPIA'er) er i overensstemmelse med kravet om løbende risikovurdering i 8.2
  • Artikel 28 (1) — Databehandlerkrav til tilstrækkelige garantier, understøttet af de eksternt leverede proceskontroller i 8.1
  • artikel 24 — Den dataansvarliges ansvar for at implementere passende foranstaltninger og gennemgå/opdatere dem, hvor det er nødvendigt

Hvad har ændret sig fra ISO 27701:2019?

  • Krav til separate operationer — I 2019 supplerede paragraf 5.6 ISO 27001 paragraf 8. Nu er de operationelle krav selvstændige.
  • Terminologi for privatlivsrisiko — 2025-udgaven bruger eksplicit "risikovurdering af privatlivets fred" og "behandling af risiko for privatlivets fred", hvilket tydeliggør fokus på privatlivets fred
  • Eksternt leverede processer — Større vægt på kontrol af outsourcede processer, hvilket afspejler den realitet, at mange organisationer er afhængige af tredjeparter til behandling af personoplysninger
  • Skift kontrol — Eksplicitte krav til kontrol af planlagte ændringer og gennemgang af utilsigtede ændringer

se Bilag F korrespondancetabel for den fulde kortlægning.

Hvilken dokumentation forventer revisorer?

  • Operationelle procedurer — Dokumenterede procedurer for behandling af personoplysninger med definerede kriterier og kontroller
  • Procesovervågningsregistre — Dokumentation for, at driftsprocesser overvåges og kontrolleres i henhold til definerede kriterier
  • Risikovurderingsrapporter — Gennemførte risikovurderinger med planlagte intervaller og udløst af ændringer
  • Implementering af risikobehandling — Dokumentation for, at behandlingstiltag er implementeret som planlagt, med statusopfølgning
  • Ændringsregistreringer — Dokumentation af planlagte og utilsigtede ændringer, herunder konsekvensanalyse og afbødende foranstaltninger
  • Leverandør-/outsourcingkontroller — Dokumentation for, at eksternt leverede processer er identificeret og kontrolleret


ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Relaterede klausuler

Klausul Relationship
Punkt 6: Planlægning Klausul 8 implementerer risikovurderingsmetoden (6.1.2) og risikohåndteringsplanen (6.1.3), der er defineret i klausul 6.
Punkt 7: Support Operationelle processer afhænger af de ressourcer, kompetencer og dokumentation, der er defineret i Punkt 7
Punkt 9: Præstationsevaluering Overvågning og intern revision evaluerer, om driften udføres som planlagt
Punkt 10: Forbedring Operationelle afvigelser identificeret i afsnit 8 indgår i processen for korrigerende handlinger.
Bilag A Kontrol Kontrollerne fra din SoA implementeres gennem driftsprocesser i henhold til klausul 8.

Hvorfor vælge ISMS.online for overholdelse af paragraf 8?

ISMS.online leverer operationelle værktøjer til den daglige drift af dit PIMS:

  • Planlægning af risikovurdering — Indstil planlagte intervaller for risikovurderinger med automatiserede påmindelser og ændringsudløste revurderingsworkflows
  • Sporing af behandlingsplan — Overvåg implementeringsstatus for alle risikohåndteringstiltag med ejertildelinger og deadlines
  • Proces kontrol — Dokumentere og administrere driftsprocedurer med kriterier, arbejdsinstruktioner og indsamling af dokumentation
  • Leverandørstyring — Spor eksternt leverede processer med due diligence-registreringer og løbende overvågning
  • Forandringsledelse — Registrer planlagte og utilsigtede ændringer med konsekvensanalyse og sporing af afbødende foranstaltninger

Ofte Stillede Spørgsmål

Hvor ofte skal der udføres risikovurderinger for privatlivets fred?

Standarden kræver vurderinger med "planlagte intervaller" uden at angive en hyppighed. De fleste organisationer foretager en omfattende gennemgang årligt, med yderligere vurderinger udløst af væsentlige ændringer. Det planlagte interval bør dokumenteres som en del af din risikovurderingsmetode i Punkt 6.1.2 og bør stå i forhold til mængden og følsomheden af ​​de personoplysninger, du behandler.

Hvad tæller som en "væsentlig ændring", der udløser revurdering?

Eksempler omfatter introduktion af nye behandlingsaktiviteter eller -systemer, skift af underleverandører eller cloud-udbydere, adgang til nye markeder eller jurisdiktioner, lovgivningsmæssige ændringer (såsom nye databeskyttelseslove), organisatorisk omstrukturering og sikkerhedshændelser eller databrud. Din risikovurderingsmetode bør definere kriterier for, hvad der udgør en væsentlig ændring i din kontekst.

Hvordan styrer du eksternt leverede processer?

Gennem en kombination af kontraktlige kontroller (databehandleraftaler), due diligence-vurderinger, løbende overvågning og revisionsrettigheder. Du bør føre et register over eksternt leverede processer, vurdere hver udbyders privatlivskontroller, inkludere passende kontraktlige klausuler og regelmæssigt gennemgå deres ydeevne. Se A.3 delte kontroller for specifikke krav til leverandørstyring.

SaaS-platforme har specifikke driftsmæssige overvejelser – se vores vejledning til SaaS-platforme.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.