Hvad kræver paragraf 9?
Klausul 9 er "Kontrol"-fasen i Plan-Do-Check-Act-cyklussen. Den fastlægger, hvordan din organisation evaluerer ydeevnen og effektiviteten af Privacy Information Management System (PIMS) gennem tre mekanismer: overvågning og måling, intern revision og ledelsesgennemgang.
Interne revisioner vurderer overensstemmelse i forhold til Bilag A kontrollerer og krav til ledelsessystemer.
9.1 Overvågning, måling, analyse og evaluering
Organisationen skal fastlægge:
- Hvad der skal overvåges og måles — Herunder privatlivsprocesser, kontroller og mål
- Metoderne — Til overvågning, måling, analyse og evaluering for at sikre gyldige resultater
- Når — Overvågningen og målingen skal udføres
- Når — Resultaterne skal analyseres og evalueres
Organisationen skal opbevare dokumenterede oplysninger som bevis for resultaterne. Effektiv overvågning går ud over simpel compliance-kontrol. Den bør vurdere, om privatlivskontrollerne opnår de tilsigtede resultater, og om PIMS-systemet som helhed leverer den ønskede privatlivsydelse.
Almindelige målinger omfatter:
- Svartider og færdiggørelsesrater for anmodninger fra den registrerede
- Antal privatlivshændelser, alvorlighedsgrader og løsningstider
- Fuldførelsesrater for træning og scorer for bevidsthedsvurdering
- Fremskridt i implementeringen af risikobehandlingsplanen
- Resultater af leverandøroverholdelsesvurdering
- Færdiggørelsesrater for nye behandlingsaktiviteter vedrørende vurdering af indvirkning på privatlivets fred
9.2 Intern revision
9.2.1 Generelt
Organisationen skal udføre interne revisioner med planlagte intervaller for at give oplysninger om, hvorvidt PIMS:
- Overholder organisationens egne krav til dens PIMS
- Overholder kravene i ISO 27701:2025
- Er effektivt implementeret og vedligeholdt
9.2.2 Intern revisionsprogram
Organisationen skal planlægge, etablere, implementere og vedligeholde et revisionsprogram, herunder:
- Frekvens — Revisionsintervaller (typisk årligt i en fuld cyklus, med hyppigere målrettede revisioner)
- Metoder — Hvordan revisioner vil blive udført (dokumentgennemgang, interviews, observation, testning)
- ansvar — Hvem skal udføre revisionerne (skal være objektiv og upartisk)
- Planlægningskrav — Hensyntagen til vigtigheden af de pågældende processer og resultaterne af tidligere revisioner
- Kriterier og omfang — Hvad der revideres, og i forhold til hvilke krav
- Rapportering — Resultaterne skal rapporteres til den relevante ledelse
Revisionsprogrammet og resultaterne skal opbevares som dokumenteret information.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
9.3 Ledelsesberetning
9.3.1 Generelt
Topledelsen skal gennemgå PIMS med planlagte intervaller for at sikre dets fortsatte egnethed, tilstrækkelighed og effektivitet.
9.3.2 Input til ledelsens gennemgang
Ledelsens gennemgang skal omfatte overvejelser om:
- Status for handlinger fra tidligere ledelsesgennemgange
- Ændringer i eksterne og interne problemstillinger, der er relevante for PIMS
- Ændringer i behov og forventninger hos interesserede parter, der er relevante for PIMS
- Information om PIMS-ydeevne, herunder tendenser i afvigelser og korrigerende handlinger, overvågnings- og måleresultater samt revisionsresultater
- Muligheder for løbende forbedringer
9.3.3 Resultater af ledelsesgennemgangen
Resultaterne af ledelsesbedømmelsen skal omfatte beslutninger og handlinger relateret til:
- Løbende forbedringsmuligheder
- Eventuelle behov for ændringer i PIMS
Dokumenterede oplysninger skal opbevares som bevis for resultaterne af ledelsesgennemgangen. Disse optegnelser viser, at topledelsen aktivt er engageret i at føre tilsyn med PIMS, et centralt krav, som revisorer vil undersøge nøje.
Hvordan hænger dette sammen med GDPR?
- Artikel 5 (2) — Ansvarlighedsprincippet kræver påvisning af overholdelse, hvilket overvågning og revision direkte understøtter
- Artikel 39 (1) (b) — Databeskyttelsesrådgiverens overvågning af overholdelse er i overensstemmelse med kravene i det interne revisionsprogram
- Artikel 32, stk. 1, litra d) — En proces til regelmæssig testning, vurdering og evaluering af foranstaltningernes effektivitet, direkte understøttet af paragraf 9
- artikel 24 — Controllerens ansvar for at gennemgå og opdatere foranstaltninger, hvor det er nødvendigt, understøttet af ledelsens gennemgang
For den komplette kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
- Selvstændige krav — I 2019 supplerede paragraf 5.7 ISO 27001 paragraf 9. Nu er kravene til præstationsevaluering komplette og uafhængige.
- Privatlivsspecifikke input — Input til ledelsesgennemgange inkluderer nu eksplicit PIMS-præstationsoplysninger og tendenser i afvigelser, overvågningsresultater og revisionsresultater.
- Klarere revisionsomfang — Interne revisioner er eksplicit rettet mod PIMS-overensstemmelse og -effektivitet snarere end at udvide et ISMS-revisionsprogram
- Strukturerede gennemgangsinput — Input fra ledelsesberetningen er mere detaljerede med specifikke punkter i stedet for generelle referencer til ISO 27001-input
For et bredere overblik, se Hvad er nyt i ISO 27701:2025.
se Bilag F korrespondancetabel for den fulde kortlægning.
Hvilken dokumentation forventer revisorer?
- Overvågningsoptegnelser — Dashboards, rapporter eller logfiler, der viser, hvad der overvåges, og resultaterne over tid
- Revisionsprogram — En planlagt tidsplan for interne revisioner, der dækker alle PIMS-krav i løbet af revisionscyklussen
- Revisionsrapporter — Udfyldte revisionsrapporter med resultater, afvigelser og observationer
- Revisors uafhængighed — Bevis for, at revisorer ikke reviderede deres eget arbejde
- Referat af ledelsesgennemgang — Optegnelser, der viser, at alle nødvendige input blev taget i betragtning, og at der blev truffet beslutninger
- Handlingssporing — Dokumentation for, at handlinger fra ledelsesevalueringer og revisioner spores til færdiggørelse
- Trendanalyse — Dokumentation for, at overvågningsdata analyseres for tendenser og ikke blot gennemgås som isolerede datapunkter
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Relaterede klausuler
| Klausul | Relationship |
|---|---|
| Punkt 5: Ledelse | Ledelsesevaluering er det sted, hvor topledelsen udøver sin ledelsesmæssige forpligtelse i praksis |
| Punkt 6: Planlægning | Opfyldelse af privatlivsmål (6.2) overvåges; resultaterne af risikovurderingen indgår i ledelsens gennemgang |
| Punkt 8: Betjening | Driftsprocesser er underlagt overvågning og intern revision |
| Punkt 10: Forbedring | Revisionsresultater og output fra evalueringer indgår direkte i korrigerende handlinger og forbedringsprocessen |
Se også Klausul 4 (Kontekst) for kontekst og Klausul 7 (Support) til støttende ressourcer.
Hvorfor vælge ISMS.online for overholdelse af paragraf 9?
ISMS.online tilbyder integrerede værktøjer til evaluering af PIMS-ydeevne:
For certificeringsplanlægning, se separat certificeringsvejledning.
- Ydeevne dashboards — Overvågning af vigtige privatlivsmålinger i realtid med trendanalyse og alarmering
- Intern revisionsstyring — Planlæg, planlæg og udfør revisioner med skabeloner, sporing af fund og indsamling af bevismateriale
- Skabeloner til ledelsesvurderinger — Strukturerede dagsordener, der dækker alle nødvendige input, med handlingssporing og referatregistrering
- Sporing af korrigerende handlinger — Forbind revisionsresultater og gennemgangshandlinger med arbejdsgange for korrigerende handlinger med ejertildeling og deadlines
- Rapportering — Generer performancerapporter til input til ledelsesgennemgang og certificeringsrevisionsdokumentation
Ofte Stillede Spørgsmål
Hvor ofte skal der udføres ledelsesvurderinger?
Standarden kræver evalueringer med "planlagte intervaller" uden at angive en hyppighed. De fleste organisationer udfører ledelsesevalueringer mindst én gang årligt, og mange vælger kvartalsvise evalueringer, især i det første implementeringsår. Hyppigheden bør være passende til modenheden af jeres PIMS og tempoet i forandringen i jeres privatlivslandskab. Uanset hvilket interval I vælger, skal det dokumenteres og følges konsekvent.
Kan interne revisioner udføres af interne medarbejdere?
Ja, forudsat at de er objektive og upartiske. Hovedkravet er, at revisorer ikke reviderer deres eget arbejde. I praksis betyder det, at den person, der er ansvarlig for at implementere en bestemt kontrol eller proces, ikke bør være den, der reviderer den. Mindre organisationer kan være nødt til at bruge eksterne revisorer til visse områder for at opretholde uafhængighed. Revisorer bør også have passende kompetence inden for privatlivsstyring og revisionsteknikker.
Hvilke privatlivsmålinger skal overvåges?
Start med målinger, der er meningsfulde for din organisation og mulige at indsamle. Almindelige eksempler omfatter mængden af anmodninger fra registrerede og svartider, antallet af hændelser med hensyn til privatlivets fred og løsningstider, procentdelen af gennemførelse af træning, fremskridt i risikostyringsplaner, gennemførelsesrater for leverandørvurderinger og afslutningsrater for revisionsresultater. Målingerne bør udvikle sig, efterhånden som dit PIMS modnes, og gå fra grundlæggende compliance-målinger til effektivitets- og resultatbaserede målinger.
Forstå den fulde certificeringsrevisionsproces i vores guide: Hvad du kan forvente under din ISO 27701:2025-revision.
Vores vejledning om krav til revisionsbeviser specificerer præcis, hvilken dokumentation revisorer forventer for hvert klausulområde.
Det er vigtigt at vælge den rigtige revisor – se hvordan man vælger et certificeringsorgan.
