Hvorfor blev ISO 27701 opdateret?
Den første udgave af ISO 27701 blev udgivet i 2019 som en udvidelse af ISO 27001 og ISO 27002. Siden da har privatlivslandskabet ændret sig markant. Nye regler er dukket op, teknologien har udviklet sig (AI, IoT, biometri), og organisationer har efterspurgt en standard, der kan stå alene i stedet for at være afhængig af et separat informationssikkerhedsstyringssystem.
ISO/IEC 27701:2025, udgivet i oktober 2025, er den anden udgave. Den erstatter 2019-versionen fuldstændigt og introducerer strukturelle ændringer, der er designet til at gøre håndtering af privatlivsoplysninger mere praktisk og tilgængelig.
Hvad er de største ændringer i ISO 27701:2025?
2025-udgaven medfører syv centrale ændringer, som organisationer skal forstå:
1. Selvstændig standard
Det mest betydningsfulde skift er, at ISO 27701:2025 nu er en standard for selvstændigt styringssystemOrganisationer behøver ikke længere først at have ISO 27001-certificering. Standarden indeholder sit eget komplette sæt af krav (punkt 4 til 10), der dækker kontekst, lederskab, planlægning, support, drift, præstationsevaluering og forbedring.
Dette åbner døren for organisationer, der ønsker privatlivscertificering uden omkostningerne ved et komplet ISMS, samtidig med at det stadig muliggør integration med ISO 27001 for dem, der ønsker begge dele.
2. Omstruktureret bilag A med tre kontroltabeller
De gamle klausuler 7 (vejledning til PII-controllere) og 8 (vejledning til PII-processorer) er blevet erstattet af en samlet Bilag A med tre borde:
| Bordlampe | Anvendelsesområde | Controls |
|---|---|---|
| Tabel A.1 | PII-controllerkontroller | 31 kontroller |
| Tabel A.2 | PII-processorkontroller | 18 kontroller |
| Tabel A.3 | Delte sikkerhedskontroller (dataansvarlige og databehandlere) | 29 kontroller |
Dette giver organisationer 78 privatlivskontroller i alt, hver med matchende implementeringsvejledning i bilag B. Strukturen gør det meget tydeligere, hvilke kontroller der gælder for din rolle.
3. Bilag B indeholder implementeringsvejledning
Bilag B afspejler hver kontrol i bilag A med detaljeret implementeringsvejledning. Hvor 2019-versionen indlejrede vejledning i punkt 6, 7 og 8, adskiller 2025-udgaven "hvad" (bilag A) fra "hvordan" (bilag B). Dette gør revision og gapanalyse mere ligetil.
4. Nye kortlægningsbilag
2025-udgaven indeholder fire kortlægningsbilag:
- Bilag C — Kortlægning til ISO/IEC 29100-privatlivsprincipperne
- Bilag D — Kortlægning til GDPR-artikler
- Bilag E — Kortlægning til ISO/IEC 27018 og ISO/IEC 29151
- Bilag F — Korrespondance med ISO 27701:2019 (ny i 2025)
Bilag F er særligt værdifuldt for organisationer, der overgår fra 2019-udgaven, da det kortlægger alle gamle kontroller til deres tilsvarende version fra 2025.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
5. Den strømlinede paragraf 6 erstatter den gamle paragraf 6
2019-udgaven Punkt 6 indeholdt over 90 underafsnit, der henviste til ISO 27002-kontroller med PII-specifikke tilføjelser. I 2025 er dette blevet konsolideret i Tabel A.3 (fælles sikkerhedskontroller) med 29 fokuserede kontroller. Resultatet er et betydeligt mere håndterbart omfang.
6. Forenklede krav til ledelsessystemer
Punkt 4 til 10 følger nu standard ISO-ledelsessystemets struktur (harmoniseret struktur). De er selvstændige og kræver ikke krydsreferencer med ISO 27001-klausuler, selvom tilpasning er ligetil for organisationer, der har begge certificeringer.
7. Hensyntagen til klimaforandringer
I overensstemmelse med de seneste ISO-ændringer på tværs af alle ledelsessystemstandarder kræver punkt 4.1 og 4.2 nu, at organisationer afgør, om klimaændringer er et relevant problem i deres PIMS-kontekst.
Hvordan er kontrolstrukturen sammenlignet med 2019?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Afhængighed | Udvidelse til ISO 27001 + 27002 | Selvstændig standard |
| Vejledning til controllere | Punkt 7 (indlejret) | Tabel A.1 + Bilag B.1 (31 kontroller) |
| Vejledning til processorer | Punkt 8 (indlejret) | Tabel A.2 + Bilag B.2 (18 kontroller) |
| Sikkerhedskontrol | Klausul 6 (90+ underklausuler, der henviser til ISO 27002) | Tabel A.3 + Bilag B.3 (29 kontroller) |
| Total privatlivskontrol | Fordelt på klausul 6, 7, 8 | 78 kontroller i bilag A |
| GDPR kortlægning | Bilag D | Bilag D (opdateret) |
| Korrespondance fra 2019 | N / A | Bilag F (nyt) |
Hvad er overgangsfristen?
Organisationer, der er certificeret i henhold til ISO 27701:2019, har indtil oktober 2028 at overgå til 2025-udgaven. Dette giver et vindue på tre år fra udgivelsesdatoen.
En struktureret mangelanalyse er det bedste udgangspunkt for at forstå, hvad 2025-udgaven betyder for jeres nuværende PIMS.
I overgangsperioden:
- Nye certificeringer kan udstedes for begge udgaver
- Eksisterende 2019-certifikater forbliver gyldige indtil deres udløb eller overgangsfristen, alt efter hvad der kommer først
- Certificeringsorganer skal opdatere deres revisionsprogrammer for at vurdere dem i forhold til 2025-kravene.
For en trin-for-trin tilgang til overgangen, se vores ISO 27701 overgangsvejledning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad betyder en selvstændig certificering i praksis?
I henhold til 2019-udgaven kunne en organisation kun opnå ISO 27701-certificering, hvis den allerede havde (eller samtidig certificerede i henhold til) ISO 27001. Dette skabte en barriere for organisationer, der havde brug for privatlivscertificering, men ikke et komplet informationssikkerhedsstyringssystem.
Med 2025-udgaven kan organisationer certificere i henhold til ISO 27701 uafhængigt. Standarden indeholder nu sine egne krav til ledelsessystemer (punkt 4 til 10) og sit eget sæt af kontroller (bilag A). Integration med ISO 27001 er dog fortsat ligetil og opfordres til, hvor begge discipliner er relevante.
Hvorfor vælge ISMS.online for ISO 27701:2025?
ISMS.online giver dig en praktisk og struktureret måde at implementere og vedligeholde dit databeskyttelsessystem (Privacy Information Management System) i overensstemmelse med ISO 27701:2025:
- Præbygget rammeværk — ISO 27701:2025 kontroller, klausuler og dokumentationskrav kortlagt og klar til brug fra dag ét
- Integreret risikostyring — Kør risikovurderinger for privatlivets fred sammen med informationssikkerhedsrisici på ét sted
- Politik- og kontrolstyring — Udarbejde, godkende, distribuere og spore bekræftelse af privatlivspolitikker
- Leverandørstyring — Spor kontrakter med databehandlere for personoplysninger, oplysninger om underleverandører og grænseoverskridende overførselsregistre
- Revisionsberedskab — Vedligehold din anvendelighedserklæring, evidenspakker og korrigerende handlinger på én platform
- Understøttelse af dobbelt certificering — Kør ISO 27701 standalone eller integreret med ISO 27001 uden dobbeltarbejde
Ofte Stillede Spørgsmål
Er ISO 27701:2025 bagudkompatibel med 2019-versionen?
Ikke direkte. Strukturen har ændret sig betydeligt, idet de gamle klausuler 6, 7 og 8 er blevet erstattet af bilag A og bilag B. Bilag F indeholder dog en komplet korrespondancetabel, der kortlægger hver kontrol i 2019 i forhold til dens tilsvarende kontrol i 2025, hvilket gør gapanalysen ligetil.
Skal jeg stadig have ISO 27001 for at blive ISO 27701-certificeret?
Nej. ISO 27701:2025 er en selvstændig standard med sine egne krav til ledelsessystemer. Du kan certificere dig i henhold til den uafhængigt. Hvis du allerede har ISO 27001, kan du integrere begge systemer og drage fordel af fælles processer.
Hvornår skal jeg overgå fra ISO 27701:2019?
Overgangsfristen er oktober 2028, hvilket giver dig tre år fra udgivelsen af 2025-udgaven. Eksisterende 2019-certifikater forbliver gyldige indtil deres udløb eller overgangsfristen, alt efter hvad der kommer først.
Hvor mange kontroller er der i ISO 27701:2025?
Dækker ISO 27701:2025 AI og biometriske data?
Standarden er teknologineutral, men dens kontroller til automatiseret beslutningstagning (A.1.3.11 Automatiseret beslutningstagning), vurdering af indvirkningen på privatlivets fred (A.1.2.6 Vurdering af indvirkning på privatlivets fred) og dataminimering (A.1.4.5 Minimering af personoplysninger) er direkte relevante for AI, IoT og biometrisk behandling. Principperne gælder uanset hvilken teknologi der anvendes.
Hvis du overvejer, om certificering er det rigtige for din organisation, kan du se vores guide: Har jeg brug for ISO 27701:2025-certificering?.
For en kortfattet oversigt, som du kan dele med ledende interessenter, læs vores Resumé for bestyrelsesmedlemmer.
