Opdateret version af ISO/IEC 27701-standarden udgivet

Den opdaterede ISO/IEC 27701, der er blevet en selvstændig standard, skal hjælpe virksomheder med at forbedre deres håndtering af personoplysninger.

Ventetiden på den nye version af standarden ISO/IEC 27701 for forvaltning af privatlivsoplysninger er ovre. Den Internationale Standardiseringsorganisation (ISO) og Den Internationale Elektrotekniske Kommission (IEC) meddelte den 14. oktober 2025, at den nye version er godkendt og frigivet.

Den væsentligste ændring er, at ISO/IEC 27701 nu bliver en selvstændig standard, der har til formål at styrke informationsstyringssystemer til beskyttelse af personoplysninger (PIMS) for organisationer over hele verden. Organisationer kan have deres PIMS som en selvstændig, certificerbar standard for styringssystemer, der specifikt fokuserer på risici og kontrolforanstaltninger i forbindelse med beskyttelse af personoplysninger, i stedet for en udvidelse af et allerede etableret ISMS, hvilket øger tilgængeligheden for en bredere vifte af organisationer.

Det skal bemærkes, at kravene og implementeringsvejledningen for den nye udgave består af eksisterende elementer fra de tidligere standarder ISO/IEC 27701:2019, ISO/IEC 27001:2022 og ISO/IEC 27002:2022. Den nye standard er struktureret, så den kan integreres med andre eksisterende ledelsessystemer, såsom ISO 9001 (kvalitet), ISO/IEC 27001 (informationssikkerhed) og ISO/IEC 42001 (kunstig intelligens), hvilket gør den velegnet og fleksibel for organisationer af alle former, størrelser og kompleksitet.

Organisationer bliver i højere grad udfordret med at navigere databeskyttelse, fra kontrol af personoplysninger til reduktion af risikoen for brud på sikkerheden og sikring af overholdelse af nye nationale og internationale regler. Det er derfor meget positivt, at ISO/IEC 27701 nu bliver en selvstændig standard,” siger Thomas Douglas, Global ICT Industry Manager in DNV.

De vigtigste ændringer

Den nye version af ISO/IEC 27701 introducerer flere væsentlige forbedringer, der er designet til at imødekomme det stadigt skiftende landskab inden for databeskyttelse og sikkerhed. Disse omfatter:

  • Et selvstændigt Privacy Information Management System (PIMS), der ikke længere er afhængigt af ISO/IEC 27001.
  • Udvidet vejledning til databehandlere og dataansvarlige
  • Større klarhed om håndtering af personoplysninger inden for AI og digitale økosystemer
  • Større fokus på at integrere privatlivsbeskyttelse i organisatoriske ledelses- og styringsstrategier, planlægning og løbende forbedringer
  • Tilpasset globale regler som GDPR, CCPA, LGPD og flere

Selvom reglerne for certificering og overgang til den reviderede standard endnu ikke er offentliggjort, bør organisationer, der er certificeret i henhold til 2019-versionen, begynde at forberede sig på en velstruktureret og rettidig overgang. En proaktiv planlægning vil ikke kun understøtte overholdelsen, men også styrke tilliden blandt interessenterne. Vejledning om overgang og certificering forventes at blive offentliggjort i de kommende uger, og akkrediteringsorganer vil derefter vedtage disse retningslinjer.

Management System and Training