Hvorfor ble ISO 27701 oppdatert?
Den første utgaven av ISO 27701 ble publisert i 2019 som en utvidelse av ISO 27001 og ISO 27002. Siden den gang har personvernlandskapet endret seg betydelig. Nye forskrifter har dukket opp, teknologi har utviklet seg (AI, IoT, biometri), og organisasjoner har etterlyst en standard som kan stå på egne ben i stedet for å være avhengig av et separat informasjonssikkerhetsstyringssystem.
ISO/IEC 27701:2025, publisert i oktober 2025, er den andre utgaven. Den erstatter 2019-versjonen fullstendig og introduserer strukturelle endringer som er utformet for å gjøre håndtering av personverninformasjon mer praktisk og tilgjengelig.
Hva er de største endringene i ISO 27701:2025?
2025-utgaven bringer med seg sju viktige endringer som organisasjoner må forstå:
1. Frittstående standard
Det viktigste skiftet er at ISO 27701:2025 nå er en frittstående styringssystem standardOrganisasjoner trenger ikke lenger å ha ISO 27001-sertifisering først. Standarden inneholder sitt eget komplette sett med krav (punkt 4 til 10), som dekker kontekst, lederskap, planlegging, støtte, drift, ytelsesevaluering og forbedring.
Dette åpner døren for organisasjoner som ønsker personvernsertifisering uten kostnadene ved et fullstendig ISMS, samtidig som det fortsatt tillater integrering med ISO 27001 for de som ønsker begge deler.
2. Omstrukturert vedlegg A med tre kontrolltabeller
De gamle klausulene 7 (veiledning for PII-kontrollere) og 8 (veiledning for PII-prosessorer) er erstattet av en enhetlig Vedlegg A med tre bord:
| Bord | Omfang | Kontroller |
|---|---|---|
| Tabell A.1 | PII-kontrollerkontroller | 31 kontroller |
| Tabell A.2 | PII-prosessorkontroller | 18 kontroller |
| Tabell A.3 | Delte sikkerhetskontroller (kontrollører og databehandlere) | 29 kontroller |
Dette gir organisasjoner 78 personvernkontroller totalt, hver med tilhørende implementeringsveiledning i vedlegg B. Strukturen gjør det mye tydeligere hvilke kontroller som gjelder for din rolle.
3. Vedlegg B gir veiledning for implementering
Vedlegg B gjenspeiler hver kontroll i vedlegg A med detaljert implementeringsveiledning. Der 2019-versjonen inneholdt veiledning i punkt 6, 7 og 8, skiller 2025-utgaven «hva» (vedlegg A) fra «hvordan» (vedlegg B). Dette gjør revisjon og gapanalyse enklere.
4. Nye kartleggingsvedlegg
2025-utgaven inneholder fire kartleggingsvedlegg:
- Vedlegg C — Tilordning til ISO/IEC 29100-personvernprinsippene
- Vedlegg D - Kartlegging til GDPR-artikler
- Vedlegg E — Tilordning til ISO/IEC 27018 og ISO/IEC 29151
- Vedlegg F — Samsvar med ISO 27701:2019 (ny i 2025)
Vedlegg F er spesielt verdifullt for organisasjoner som går over fra 2019-utgaven, ettersom det kartlegger alle gamle kontroller til tilsvarende utgaver fra 2025.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
5. Strømlinjeformet paragraf 6 erstatter den gamle paragraf 6
2019-utgaven Klausul 6 inneholdt over 90 underklausuler som refererte til ISO 27002-kontroller med PII-spesifikke tillegg. I 2025 ble dette konsolidert til Tabell A.3 (delte sikkerhetskontroller) med 29 fokuserte kontroller. Resultatet er et betydelig mer håndterbart omfang.
6. Forenklede krav til styringssystemer
Klausul 4 til 10 følger nå standard ISO-styringssystemstruktur (harmonisert struktur). De er selvstendige og krever ikke kryssreferanse med ISO 27001-klausuler, selv om tilpasning er enkel for organisasjoner som har begge sertifiseringene.
7. Hensyn til klimaendringer
I tråd med nylige ISO-endringer på tvers av alle styringssystemstandarder, krever klausul 4.1 og 4.2 nå at organisasjoner avgjør om klimaendringer er et relevant problem i deres PIMS-kontekst.
Hvordan er kontrollstrukturen sammenlignet med 2019?
| Aspekt | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Avhengighet | Utvidelse til ISO 27001 + 27002 | Frittstående standard |
| Veiledning for kontrollører | Klausul 7 (innebygd) | Tabell A.1 + Vedlegg B.1 (31 kontroller) |
| Veiledning for prosessor | Klausul 8 (innebygd) | Tabell A.2 + Vedlegg B.2 (18 kontroller) |
| Sikkerhetskontroller | Klausul 6 (90+ underklausuler som refererer til ISO 27002) | Tabell A.3 + Vedlegg B.3 (29 kontroller) |
| Total personvernkontroll | Fordelt på klausul 6, 7, 8 | 78 kontroller i vedlegg A |
| GDPR kartlegging | Vedlegg D | Vedlegg D (oppdatert) |
| Korrespondanse fra 2019 | N / A | Vedlegg F (nytt) |
Hva er overgangsfristen?
Organisasjoner som er sertifisert i henhold til ISO 27701:2019 har frist oktober 2028 å gå over til 2025-utgaven. Dette gir et treårsvindu fra publiseringsdatoen.
En strukturert gap analyse er det beste utgangspunktet for å forstå hva 2025-utgaven betyr for ditt nåværende PIMS.
I overgangsperioden:
- Nye sertifiseringer kan utstedes for begge utgavene
- Eksisterende sertifikater fra 2019 forblir gyldige til utløpet eller overgangsfristen, avhengig av hva som inntreffer først.
- Sertifiseringsorganer må oppdatere revisjonsprogrammene sine for å vurdere dem mot 2025-kravene.
For en trinnvis tilnærming til overgangen, se vår ISO 27701 overgangsveiledning.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hva betyr frittstående sertifisering i praksis?
I henhold til 2019-utgaven kunne en organisasjon bare oppnå ISO 27701-sertifisering hvis den allerede hadde (eller samtidig sertifiserte seg i henhold til) ISO 27001. Dette skapte en barriere for organisasjoner som trengte personvernsertifisering, men ikke et fullstendig styringssystem for informasjonssikkerhet.
Med 2025-utgaven kan organisasjoner sertifisere seg i henhold til ISO 27701 uavhengig. Standarden inkluderer nå egne krav til styringssystemer (punkt 4 til 10) og et eget sett med kontroller (vedlegg A). Integrering med ISO 27001 er imidlertid fortsatt enkel og oppfordres der begge fagområder er relevante.
Hvorfor velge ISMS.online for ISO 27701:2025?
ISMS.online gir deg en praktisk og strukturert måte å implementere og vedlikeholde personverninformasjonshåndteringssystemet ditt i samsvar med ISO 27701:2025:
- Forhåndsbygd rammeverk — ISO 27701:2025-kontroller, klausuler og dokumentasjonskrav kartlagt og klare til bruk fra dag én
- Integrert risikostyring — Kjør risikovurderinger for personvern sammen med risikoer for informasjonssikkerhet på ett sted
- Policy- og kontrollhåndtering — Utarbeide, godkjenne, distribuere og spore bekreftelse av personvernregler
- Leverandørstyring — Sporing av kontrakter for databehandlere av personopplysninger, opplysninger fra underleverandører og registre over grenseoverskridende overføringer
- Revisjonsberedskap — Oppretthold erklæringen om anvendelighet, dokumentasjonspakker og korrigerende tiltak på én plattform
- Støtte for dobbel sertifisering — Kjør ISO 27701 frittstående eller integrert med ISO 27001 uten dobbeltarbeid
Spørsmål og svar
Er ISO 27701:2025 bakoverkompatibel med 2019-versjonen?
Ikke direkte. Strukturen har endret seg betydelig, med de gamle klausulene 6, 7 og 8 erstattet av vedlegg A og vedlegg B. Vedlegg F gir imidlertid en fullstendig korrespondansetabell som kartlegger hver kontroll i 2019 til dens tilsvarende i 2025, noe som gjør gapanalysen enkel.
Trenger jeg fortsatt ISO 27001 for å bli ISO 27701-sertifisert?
Nei. ISO 27701:2025 er en frittstående standard med egne krav til styringssystemer. Du kan sertifisere deg i henhold til den uavhengig. Hvis du allerede har ISO 27001, kan du integrere begge systemene og dra nytte av delte prosesser.
Når må jeg gå over fra ISO 27701:2019?
Overgangsfristen er oktober 2028, som gir deg tre år fra publiseringen av 2025-utgaven. Eksisterende 2019-sertifikater forblir gyldige til utløpet eller overgangsfristen, avhengig av hva som inntreffer først.
Hvor mange kontroller finnes i ISO 27701:2025?
Det er 78 kontroller i vedlegg A, fordelt på tre tabeller: 31 for PII-kontrollører (Tabell A.1), 18 for PII-prosessorer (Tabell A.2) og 29 delte sikkerhetskontroller for begge (Tabell A.3Hver kontroll har tilhørende implementeringsveiledning i vedlegg B.
Dekker ISO 27701:2025 kunstig intelligens og biometriske data?
Standarden er teknologinøytral, men kontrollene for automatisert beslutningstaking (A.1.3.11 Automatisert beslutningstaking), vurdering av personvernkonsekvenser (A.1.2.6 Vurdering av personvernkonsekvenser) og dataminimering (A.1.4.5 Minimering av personlig identifiserende informasjon) er direkte relevante for AI, IoT og biometrisk prosessering. Prinsippene gjelder uavhengig av hvilken teknologi som brukes.
Hvis du vurderer om sertifisering er riktig for din organisasjon, kan du se veiledningen vår: Trenger jeg ISO 27701:2025-sertifisering?.
For en kortfattet oversikt å dele med ledende interessenter, les vår Sammendrag for styremedlemmer.
