Anmodninger om videregivelse af PII efter GDPR og ISO 27701

Anmodningen kommer kl. 16.47 en fredag
En kundeansvarlig videresender en e-mail til juridisk afdeling med emnelinjen: “HASTER: POLITIANMODNING.” Vedhæftet er et scannet brev, der anmoder om kontooplysninger, loginhistorik, IP-adresser, betalingsregistreringer og “alle øvrige relevante oplysninger” om en navngiven person. Afsenderen hævder at repræsentere en cybercrime-enhed. E-mailen kræver videregivelse inden for 24 timer og anmoder organisationen om “ikke at underrette den registrerede.”
Samtidig undersøger sikkerhedsdriften usædvanlig aktivitet på den samme kundekonto. Databeskyttelsesrådgiveren (DPO) befinder sig i en anden tidszone. CISO’en spørger, om dette er en hændelse, en juridisk anmodning, en GDPR-videregivelse eller alle tre. Salg vil “samarbejde fuldt ud.” Support vil vide, om de må eksportere kundeprofilen. En medarbejder foreslår at sende hele CRM-registreringen, fordi “myndighederne har bedt om alt.”
Det er styringshullet.
De fleste organisationer har en privatlivspolitik, en hændelseshåndteringsplan og en proces for anmodninger om indsigt fra registrerede. Mange kan håndtere leverandør-due diligence, regulatorisk korrespondance og anmeldelse eller underretning ved brud på persondatasikkerheden. Langt færre har en gentagelig arbejdsgang for tvungne eller officielle anmodninger om videregivelse af PII fra retshåndhævende myndigheder, tilsynsmyndigheder, domstole, skattemyndigheder, finansielle tilsyn, telemyndigheder, cybercrime-enheder eller udenlandske offentlige myndigheder.
Dette hul er risikabelt. Efterlevelse af en svigagtig anmodning kan blive et brud på persondatasikkerheden. Afvisning af en legitim anmodning kan skabe juridisk eksponering. Svar uden en kontrolleret proces kan føre til overdreven videregivelse, brudt beviskæde, overskredne frister, ulovlige internationale overførsler og revisionssvigt.
Efter GDPR, ISO 27701:2025 og ISO/IEC 27001:2022 er en officiel anmodning om videregivelse af PII ikke kun et spørgsmål for juridisk afdelings indbakke. Den berører behandlingsgrundlag, ansvarlighed, formålsbegrænsning, dataminimering, fortrolighed, rollebaseret godkendelse, styring af internationale overførsler, databehandlerinstrukser, bevaring af bevismateriale, sikker overførsel og revisionsspor.
Den praktiske test er enkel: Når anmodningen kommer, kan organisationen dokumentere, at den har valideret anmoderen, vurderet den juridiske hjemmel, minimeret videregivelsen, indhentet de rette godkendelser, beskyttet bevismateriale, registreret beslutningen og bevaret et revisionsklart spor?
Clarysec’s position er klar. Behandl anmodninger fra retshåndhævende myndigheder og tilsynsmyndigheder om videregivelse af PII som en kontrolleret arbejdsgang for databeskyttelse og informationssikkerhed, ikke som et improviseret e-mailsvar.
Hvorfor officielle anmodninger om videregivelse af PII er anderledes
En normal ekstern datadelingsordning starter som regel med et forretningsformål. En leverandør har brug for medarbejderdata til lønbehandling. En SaaS-udbyder behandler kundeidentifikatorer. En partner modtager transaktionsdata i henhold til en kontrakt. Styringsmønstret er velkendt: due diligence, databehandleraftale, sikkerhedskrav, overførselsvurdering, opbevaringsvilkår og løbende overvågning.
Anmodninger fra retshåndhævende myndigheder og tilsynsmyndigheder om videregivelse af PII er anderledes. De er hændelsesdrevne, tidskritiske, ofte fortrolige og nogle gange retligt bindende. De kan omgå indkøbskanaler. De kan anmode om brede PII-kategorier. De kan forbyde underretning. De kan involvere udenlandske myndigheder. De kan komme under en hændelse, en svigundersøgelse, et legal hold, en regulatorisk undersøgelse eller en cybercrime-efterforskning.
Det skaber tre umiddelbare styringskrav.
For det første skal organisationen vide, hvem der må svare. En frontlinjemedarbejder bør ikke beslutte, om en politianmodning er gyldig, om en tilsynsmyndigheds formulering er bindende, eller om kundeunderretning er forbudt.
For det andet skal samarbejde adskilles fra overdreven videregivelse. GDPR forhindrer ikke lovligt samarbejde med myndigheder, men kræver fortsat et gyldigt juridisk grundlag, rimelighed, gennemsigtighed hvor relevant, formålsbegrænsning, dataminimering, integritet, fortrolighed og ansvarlighed.
For det tredje skal bevismateriale bevares. Hvis anmodningen vedrører en hændelse, et svigtilfælde, en retssag eller en tilsynsforespørgsel, kan sletning af logfiler, ændring af registreringer eller eksport af data uden sporbarhed skade både efterlevelse og juridisk forsvarlighed.
Den stærkeste driftsmodel forbinder privacy governance, juridisk godkendelse, håndtering af bevismateriale, hændelseshåndtering, sikker transmission og myndighedskontakt i én samlet arbejdsgang.
Clarysec-kontrolklyngen: myndigheder, databeskyttelse og bevismateriale
I Zenith Controls: vejledningen til kortlægning på tværs af efterlevelseskrav behandler Clarysec styring af videregivelse til retshåndhævende myndigheder og tilsynsmyndigheder som en sammenhængende kontrolklynge, ikke som en isoleret databeskyttelsesopgave. De centrale kontroller i ISO/IEC 27002:2022 er 5.5 Contact with authorities, 5.28 Collection of evidence og 5.34 Privacy and protection of PII. Understøttende kontrolrelationer omfatter klassificering og mærkning, adgangsstyring, leverandørrelationer, hændelsesstyring, logning, synkronisering af systemtid, kryptografi, maskering, sletning og informationsoverførsel.
Det er vigtigt, fordi officielle anmodninger om videregivelse kan fejle flere steder. Et databeskyttelsesteam kan validere behandlingsgrundlaget, men undlade at bevare bevismateriale. Et SOC kan bevare logfiler, men videregive for meget PII. Juridisk afdeling kan godkende et svar, men glemme at opdatere videregivelsesregisteret. En databehandler kan svare direkte til en myndighed, selv om anmodningen burde have været videresendt til den dataansvarlige.
Zenith Blueprint: en revisors 30-trins køreplan styrker denne driftsmæssige sammenhæng i Controls in Action-fasen, trin 22, under Contact with Authorities:
Kontrol 5.5 sikrer, at en organisation er forberedt på at interagere med eksterne myndigheder, når det er nødvendigt, ikke reaktivt eller i panik, men gennem foruddefinerede, strukturerede og velkendte kanaler.
Samme afsnit rammesætter de spørgsmål, der skal besvares, før en reel anmodning kommer:
Princippet er enkelt: Hvis jeres organisation blev ramt af et cyberangreb, var involveret i et brud på persondatasikkerheden eller var under undersøgelse, hvem ville så kontakte myndighederne? Hvordan ville de vide, hvad de skulle sige? Under hvilke betingelser skulle sådan kontakt iværksættes? Disse spørgsmål skal besvares på forhånd, ikke efterfølgende.
For PII-beskyttelse rammesætter Zenith Blueprint, i Controls in Action-fasen, trin 23, databeskyttelse som en livscyklusforpligtelse:
Kontrol 5.34 kræver, at organisationer beskytter enkeltpersoners privatliv ved at implementere passende foranstaltninger til håndtering af PII gennem hele dens livscyklus.
For bevismateriale forklarer samme fase og trin, hvorfor uformel håndtering er risikabel:
Kontrol 5.28 anerkender, at efter en hændelse er det, du kan dokumentere, lige så vigtigt som det, der faktisk skete.
Tilsammen definerer disse tre principper styringsmodellen: Vid, hvem der taler med myndighederne, beskyt PII gennem hele videregivelsens livscyklus, og bevar bevismateriale på en forsvarlig måde.
GDPR og ISO 27701:2025’s syn på tvungen videregivelse
ISO 27701:2025 styrker behovet for disciplin i et ledelsessystem for databeskyttelse. Et PIMS bør definere, hvordan PII-dataansvarlige og PII-databehandlere håndterer officielle anmodninger om videregivelse, herunder modtagelse, validering, juridisk gennemgang, autorisation, registrering, minimering, sikker transmission, opbevaring og gennemgang efter svar.
For en dataansvarlig er kernespørgsmålet, om organisationen fastlægger formålene med og hjælpemidlerne til behandlingen og derfor skal beslutte, om og hvordan videregivelsen er lovlig. For en databehandler er spørgsmålet, om den overhovedet må videregive uden instruks fra den dataansvarlige, medmindre det er retligt påkrævet. For en underdatabehandler bliver routing og krav om videreførelse endnu mere følsomme.
GDPR understøtter de samme driftskrav. En videregivelse til en offentlig myndighed er stadig behandling. Organisationen skal have et behandlingsgrundlag efter Article 6, et dokumenteret formål, passende sikkerhed, dataminimering efter Article 5(1)(c) og dokumentation for ansvarlighed efter Article 5(2). I mange tilfælde vil behandlingsgrundlaget være Article 6(1)(c), behandling der er nødvendig for at overholde en retlig forpligtelse, men kun efter at juridisk afdeling har valideret anmodningen og jurisdiktionen.
Når anmodningen kommer fra en udenlandsk offentlig myndighed, bliver styring af overførsler og DPO-gennemgang afgørende. Når anmodningen involverer en databehandler, skal kontraktlige regler for underretning og instrukser kontrolleres. Når anmodningen vedrører en cybersikkerhedshændelse, skal svaret afstemmes med krav til hændelseshåndtering og indsamling af bevismateriale.
Clarysec’s politiksæt omsætter disse krav til operationelle regler.
Virksomhedens P17 Databeskyttelses- og privatlivspolitik, klausul 6.1.1, fastslår:
Al behandling skal baseres på et gyldigt juridisk grundlag (f.eks. samtykke, kontrakt, retlig forpligtelse).
Samme politik, klausul 6.2.1, tilføjer forankringen for minimering:
Kun data, der er nødvendige for et specifikt, legitimt forretningsformål, må indsamles og behandles.
For SMV’er fastslår P17S Databeskyttelses- og privatlivspolitik - SMV, klausul 6.2.1:
Kun de minimumspersonoplysninger, der er nødvendige, må indsamles og opbevares.
Disse klausuler er vigtige, når anmodningen beder om “alle oplysninger,” “fuldstændig historik” eller “alle relaterede registreringer.” Det korrekte svar er ikke at eksportere alle felter. Det korrekte svar er at validere anmodningen, identificere det retligt krævede omfang, kun videregive nødvendig PII, dokumentere beslutningen og bevare bevismateriale.
Fra e-mailpanik til kontrolleret videregivelse
En moden arbejdsgang skal være enkel nok til, at frontlinjemedarbejdere kan følge den, og robust nok til revisorer, tilsynsmyndigheder og domstole. Clarysec anbefaler en model med syv faser.
| Fase | Kontrolmål | Primær ejer | Oprettet bevismateriale |
|---|---|---|---|
| 1. Modtagelse og karantæne | Forhindre uformelt svar eller utilsigtet videregivelse | Service desk, juridisk modtagefunktion, databeskyttelsesansvarlig | Anmodningssag, oprindelig meddelelse, vedhæftede filer, tidsstempel |
| 2. Validering af autenticitet | Bekræfte anmoderens identitet, myndighed, jurisdiktion og retlige dokument | Juridisk afdeling, DPO, compliance | Valideringsnotater, verifikation af myndighedskontakt, vurdering af juridisk grundlag |
| 3. Fastlæggelse af rolle | Beslutte, om organisationen handler som dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler | Databeskyttelsesansvarlig, kontraktejer | Vurdering af PIMS-rolle, registrering af kundens instruks ved databehandlerrolle |
| 4. Minimering af omfang | Omsætte anmodningen til specifikke PII-kategorier og datointervaller | Procesejer, sikkerhed, juridisk afdeling | Udtræk fra datakortlægning, beslutning om minimering, redigeringsnotater |
| 5. Godkendelse | Sikre autoriseret beslutning før videregivelse | DPO, juridisk afdeling, CISO, forretningsejer | Godkendelsesregistrering, undtagelsesregistrering ved hastesag |
| 6. Sikker videregivelse | Overføre kun godkendte data gennem kontrollerede kanaler | Sikkerhed, juridiske driftsfunktioner | Overførselslog, krypteringsdokumentation, modtagerbekræftelse |
| 7. Register og gennemgang | Bevare dokumentation for ansvarlighed og læringspunkter | PIMS-ansvarlig, compliance | Post i REG08, REG09 eller REG12, revisionsspor, lukningsgennemgang |
Den første regel er routing. Alle medarbejdere bør vide, at officielle PII-anmodninger skal gå til en defineret modtagelseskanal. Ingen bør svare fra en personlig postkasse. Ingen bør ringe til anmoderen ved hjælp af et telefonnummer, der står i et ikke-valideret brev. Ingen bør eksportere kundedata, før juridisk afdeling og Privacy har gennemgået anmodningen.
Virksomhedens P30 Politik for hændelseshåndtering, klausul 6.5.5, understøtter denne routingdisciplin:
Enhver kontakt med retshåndhævende myndigheder eller forensiske tjenesteudbydere skal koordineres gennem Legal-teamet og CISO’en.
Denne klausul er særlig vigtig, hvor anmodningen om videregivelse er knyttet til svig, cybercrime, kompromittering af konto, ransomware, insidertrussel eller undersøgelse af brud. Juridisk afdeling og sikkerhed skal koordinere, ikke arbejde parallelt.
Virksomhedens P37 Politik for juridisk og regulatorisk efterlevelse, klausul 7.3.1.2, kontrollerer eksterne udtalelser:
Alle mundtlige eller skriftlige udtalelser til tilsynsmyndigheder skal forhåndsgodkendes.
Klausul 7.3.1.3 tilføjer disciplin for frister og bevismateriale:
Svarfrister skal spores, og logfiler for bevismateriale skal vedligeholdes.
Disse regler er ikke bureaukratisk friktion. De forhindrer utilsigtede indrømmelser, ukontrolleret videregivelse, overskredne frister og svagt bevismateriale.
Godkendelses- og registerdisciplin: det revisionsbevismateriale, de fleste teams overser
Mange organisationer kan fremvise den oprindelige anmodningsmail. Færre kan vise, hvem der godkendte videregivelsen, hvilket behandlingsgrundlag der blev anvendt, hvorfor bestemte felter blev inkluderet eller udeladt, hvordan anmoderen blev valideret, om den registrerede blev underrettet eller lovligt ikke underrettet, og hvor svaret blev registreret.
Det er her, Clarysec’s PIMS-registre bliver centrale.
For dataansvarlige kræver virksomhedens PII09 Politik for indsamling, brug, videregivelse og deling af PII, klausul 4.4.1:
[Dataansvarlig] Procesejeren / forretningsejeren SKAL registrere resultatet af gennemgangen fra den databeskyttelsesansvarlige / PIMS-ansvarlige i REG08, før en ny ekstern videregivelse eller datadelingsordning påbegyndes.
Klausul 4.4.2 angiver, hvad der skal registreres ved tilbagevendende deling:
[Dataansvarlig] Leverandør- / indkøbsansvarlig SKAL registrere modtageridentitet, modtagerrolle, videregivelsesformål, PII-kategorier, delingsfrekvens, behandlingslokation og hjemmelskilde i REG08, før tilbagevendende ekstern deling påbegyndes.
For databehandlere indeholder virksomhedens PII12 Politik for styring af databehandlere, underdatabehandlere og tredjepartsdatabeskyttelse, klausul 4.5.3, en specifik regel for retligt bindende og kundegodkendte anmodninger:
[Databehandler] Leverandør- / indkøbsansvarlig SKAL registrere tredjepartsanmodninger om videregivelse, retligt bindende anmodninger om videregivelse eller kundegodkendte anmodninger om videregivelse i REG08 før videregivelse eller inden for to arbejdsdage, når forudgående registrering ikke er tilladt eller driftsmæssigt mulig.
For anmodninger fra udenlandske offentlige myndigheder er virksomhedens PII13 Politik for international overførsel af PII, klausul 4.4.3, mere specifik:
[Begge] Den databeskyttelsesansvarlige / PIMS-ansvarlige SKAL registrere anmodninger fra udenlandske offentlige myndigheder om videregivelse i REG09 eller REG12 før videregivelse, hvor det er praktisk muligt, eller inden for én arbejdsdag, hvor forudgående registrering ikke er praktisk mulig.
Klausul 4.4.4 tilføjer gennemgangsdisciplin:
[Begge] Databeskyttelsesrådgiveren / rådgiveren inden for databeskyttelse SKAL gennemgå anmodninger fra udenlandske offentlige myndigheder om videregivelse med væsentlig betydning for databeskyttelse i REG09 eller REG12 før svar, hvor det er praktisk muligt.
Et videregivelsesregister er organisationens single source of truth. Det bør ikke erstattes af spredte e-mails, private chattråde eller ad hoc-regneark.
| Registerfelt | Hvad det dokumenterer |
|---|---|
| Anmodnings-ID | Anmodningen blev entydigt sporet |
| Anmodningskilde | Myndigheden eller anmoderen blev identificeret |
| Kilde til juridisk hjemmel | Det retlige dokument eller myndighedsgrundlaget blev vurderet |
| PIMS-rolle | Forpligtelser som dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler blev overvejet |
| Anmodede PII-kategorier | Det oprindelige anmodningsomfang blev registreret |
| Godkendte PII-kategorier | Den endelige videregivelse blev kontrolleret |
| Udeladt PII | Dataminimering blev aktivt anvendt |
| Godkendelseskæde | Godkendelser fra juridisk afdeling, DPO, CISO og forretningen blev registreret |
| Transmissionsmetode | Kontroller for sikker overførsel blev anvendt |
| Beslutning om underretning | Begrænsninger i gennemsigtighed eller udsættelser blev overvejet |
| Opbevaring og lukning | Bevismateriale blev opbevaret, og sagen blev lukket |
Praktisk eksempel: en anmodning fra en tilsynsmyndighed i REG08
Forestil dig, at en reguleret fintech-virksomhed modtager en skriftlig anmodning fra en national finansiel tilsynsmyndighed om PII relateret til mistænkelige transaktioner for én kunde over en periode på 90 dage. Anmodningen beder om registreringer for identitetsverifikation, transaktionslogfiler, enhedsidentifikatorer, supportsager og interne risikonotater.
Ved brug af Clarysec’s toolkit opretter den databeskyttelsesansvarlige en REG08-videregivelsesregistrering.
| REG08-felt | Eksempelpost |
|---|---|
| Anmodnings-ID | REG08-2026-041 |
| Anmodningskilde | National finansiel tilsynsmyndighed, verificeret gennem officielt kontaktregister for tilsyn |
| Anmodningstype | Anmodning fra tilsynsmyndighed om videregivelse af PII |
| PIMS-rolle | Dataansvarlig |
| Kilde til juridisk hjemmel | Lovbestemt tilsynsanmodning om oplysninger, reference FIN-REQ-7781 |
| Formål | Undersøgelse af mistænkelige transaktioner for navngiven kunde |
| Anmodede PII-kategorier | Identitetsverifikationsdata, transaktionslogfiler, enhedsidentifikatorer, supportkommunikation, risikonotater |
| Godkendte PII-kategorier | Transaktionslogfiler, enhedsidentifikatorer, relevante identitetsverifikationsfelter, to supportsager inden for datointervallet |
| Udeladt PII | Irrelevant supporthistorik, interne analytikervurderinger uden for datointervallet, referencer til tredjepartskunder |
| Begrundelse for minimering | Omfang begrænset til navngiven kunde, 90-dages periode og registreringer relevante for de transaktioner, der er identificeret i anmodningen |
| DPO-gennemgang | Godkendt med instrukser om redigering |
| Juridisk godkendelse | Godkendt, svarformulering gennemgået |
| CISO-gennemgang | Godkendt sikker eksport og overførselsmetode |
| Transmissionsmetode | Krypteret arkiv via tilsynsmyndighedens sikre portal |
| Underretning af registreret | Udskudt på grund af juridisk begrænsning i anmodningen, gennemgangsdato fastsat |
| Opbevaring | Anmodningsregistrering og videregivelsespakke opbevaret efter plan for legal hold |
| Dokumentation for lukning | Kvittering for portalindsendelse, hash af videregivelsespakke, godkendelseskæde |
Det er forskellen mellem “vi efterlevede” og “vi kan dokumentere, at vi efterlevede lovligt og proportionalt.” Hvis kunden senere klager, hvis myndigheden stiller opfølgende spørgsmål, eller hvis en revisor udtager videregivelsen som stikprøve, viser registreringen styringslogikken.
Bevaring af bevismateriale: beskadig ikke fakta, mens I forsøger at hjælpe
Når en anmodning fra retshåndhævende myndigheder eller tilsynsmyndigheder er knyttet til en undersøgelse, krydser privacy governance ind i digital efterforskning og legal hold. De data, der videregives, er ofte bevismateriale, og selve indsamlingen skal bevare integriteten.
Politik for juridisk og regulatorisk efterlevelse - SMV, klausul 6.4.1, fastlægger konteksten:
Ved tvist, undersøgelse eller juridisk anmodning:
Klausul 6.4.1.2 giver en klar instruks:
Medarbejdere må ikke slette eller ændre materiale, der kan indgå i en undersøgelse.
P31S Politik for indsamling af bevismateriale og digital efterforskning - SMV, klausul 2.2.5, omfatter udtrykkeligt:
Forespørgsler fra tilsynsmyndigheder eller retshåndhævende myndigheder.
Klausul 5.2.1 fastlægger logningsdisciplin:
Hvert element af digitale beviser skal logges med:
Operationelt bør loggen over bevismateriale indeholde en entydig identifikator, dato og tidspunkt for indsamling, navn på indsamler, kildelokation og kryptografisk hash, hvor det er relevant. Formålet er sporbarhed. Hvis logfiler eksporteres manuelt, filnavne ændres, tidsstempler er uklare, eller ingen hash opbevares, kan organisationen senere få svært ved at dokumentere integriteten.
En stærk arbejdsgang for bevismateriale begrænser også adgang. Videregivelsespakker bør opbevares på begrænsede lokationer, krypteres under overførsel, spores gennem overførselslogfiler og opbevares i overensstemmelse med krav til legal hold og opbevaring. Hvis en anmodning om videregivelse overlapper med hændelseshåndtering, skal teamet vide, hvornår det skal skifte fra afhjælpningstilstand til undersøgelsesposition.
Kortlægning på tværs af efterlevelseskrav: én arbejdsgang, mange forpligtelser
En veldesignet arbejdsgang for anmodninger om videregivelse af PII kan opfylde flere rammeværker uden dobbeltarbejde. Zenith Controls hjælper organisationer med at kortlægge det samme operationelle bevismateriale på tværs af forventninger til databeskyttelse, cybersikkerhed, operationel robusthed og styring.
| Rammeværk | Hvad revisoren eller tilsynsmyndigheden forventer | Hvordan Clarysec-arbejdsgangen understøtter det |
|---|---|---|
| ISO 27701:2025 | PIMS-roller, styring af lovlig videregivelse, databehandlerinstrukser, registreringer over PII-videregivelse, risikobehandling vedrørende databeskyttelse | Fastlæggelse af rolle, REG08, REG09, REG12, DPO-gennemgang, begrundelse for minimering |
| GDPR | Behandlingsgrundlag, ansvarlighed, dataminimering, sikkerhed, beslutninger om gennemsigtighed, databehandler- og overførselsstyring | Vurdering af juridisk hjemmel, godkendelseskæde, begrænset videregivelsespakke, dokumentation for sikker overførsel |
| ISO/IEC 27001:2022 og ISO/IEC 27002:2022 | Kontakt med myndigheder, indsamling af bevismateriale, PII-beskyttelse, adgangsstyring, logning, kryptografi, sletning | Myndighedskontaktmatrix, log over bevismateriale, sikker eksport, hashregistrering, opbevaringsbeslutning |
| NIS2 | Disciplin for rapportering af hændelser, samarbejde med kompetente myndigheder, ansvarlighed i styring, opmærksomhed på forsyningskæden | Koordinering mellem juridisk afdeling og CISO, svarfrister, myndighedskontaktregister, kobling til hændelse |
| DORA | Styring af IKT-hændelser i finansielle enheder, interaktion med tilsynsmyndigheder, bevisberedskab, IKT-tredjepartsrisiko | Routing af tilsynsanmodning, sikre videregivelsesregistreringer, bevaring af hændelsesbevismateriale, leverandørgrænseflade |
| NIST Cybersecurity Framework | Resultater for styring, identifikation, beskyttelse, detektion, respons og genopretning ved cybersikkerhedshændelser | Politikejerskab, datafortegnelse, adgangskontroller, logning, responsarbejdsgang, gennemgang efter svar |
| COBIT 2019 | Styringsmål for efterlevelse, risiko, sikkerhed, informationsstyring og assurance | Beslutningsrettigheder, procesejerskab, revisionsoptegnelser, ledelsestilsyn, løbende forbedring |
De understøttende ISO-standarder er også relevante. ISO/IEC 27035 hjælper med at strukturere hændelsesstyring, når anmodningen er hændelsesrelateret. ISO/IEC 27037 understøtter identifikation, indsamling, erhvervelse og bevaring af digitale beviser. ISO/IEC 27018 er nyttig, hvor offentlige cloud-databehandlere håndterer PII. ISO/IEC 27017 understøtter ansvar for cloud-sikkerhed. ISO 22301 bliver relevant, hvis myndighedskontakt og videregivelsesforpligtelser skal fortsætte under kriseforhold. ISO/IEC 27006-1:2024 har indirekte betydning, fordi certificeringsrevisorer forventer konsistent, reviderbar implementering af ledelsessystemkontroller inden for omfanget.
Pointen er ikke at opbygge en separat efterlevelsesproces for hvert rammeværk. Pointen er at designe én forsvarlig arbejdsgang, der producerer genanvendeligt bevismateriale.
Hvordan forskellige revisorer vil teste arbejdsgangen
En ISO/IEC 27001:2022-revisor vil typisk starte med integrationen i ledelsessystemet. Revisoren vil spørge, om organisationen har fastlagt interessenter, juridiske og regulatoriske krav, risici, kontrolmål, dokumenterede procedurer, tildelte ansvarsområder og bevaret bevismateriale. For anmodninger om videregivelse kan revisoren udtage hændelser, regulatorisk korrespondance, myndighedskontaktlister, logfiler over bevismateriale og databeskyttelsesregistreringer som stikprøver. Revisoren vil sandsynligvis teste Annex A-kontrollerne A.5.5 Contact with authorities, A.5.28 Collection of evidence og A.5.34 Privacy and protection of PII.
En ISO 27701:2025-assessor vil fokusere på klarhed om PIMS-roller. Var I dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler? Hvis dataansvarlig: hvor er behandlingsgrundlaget og videregivelsesregistreringen? Hvis databehandler: handlede I efter instruks fra den dataansvarlige, medmindre andet var retligt påkrævet? Blev kunden underrettet, hvor det var krævet eller kontraktligt forventet? Blev anmodninger fra udenlandske offentlige myndigheder registreret og gennemgået?
En GDPR-tilsynsmyndighed vil fokusere på ansvarlighed. Spørgsmålet vil ikke blot være “havde I en retlig forpligtelse?” Det vil være “hvorfor blev netop denne mængde data videregivet, hvem godkendte det, hvordan blev anmoderen valideret, hvilken sikkerhed beskyttede overførslen, hvordan vurderede I gennemsigtighed, og hvor er registreringen?”
En NIST-orienteret assessor vil undersøge styring og responsresultater. Vedkommende vil spørge, om roller var defineret, om logfiler blev bevaret, om adgang til videregivelsespakker var begrænset, om responsaktiviteter blev dokumenteret, og om læringspunkter forbedrede programmet.
En COBIT 2019- eller ISACA-revisor vil teste styring af beslutningsrettigheder. Revisoren kan spørge, om ledelsen har defineret procesejeren, om ansvarsområder for juridisk afdeling, Privacy, Security og forretningen er adskilt, om undtagelser godkendes, om metrikker rapporteres, og om assurance kan baseres på bevismaterialet.
En tilsynsmyndighed, revisor, CISO og DPO kan alle se den samme registrering forskelligt. En databeskyttelsesfaglig ser en registrering af lovlig videregivelse. En sikkerhedsrevisor ser bevaring af bevismateriale og sikker overførsel. En styringsrevisor ser ansvarlighed og beslutningsrettigheder. Organisationen bør kunne svare dem alle ud fra det samme kontrolbevismateriale.
Almindelige fejlmønstre
Clarysec ser de samme forebyggelige fejl igen og igen.
Den første er uformel myndighedskontakt. En politibetjent ringer til support, support vil gerne hjælpe, og medarbejderen bekræfter kontooplysninger mundtligt. Ingen validering, ingen godkendelse, ingen registrering.
Den anden er overdreven videregivelse. Organisationen sender en hel kundesag i stedet for de specifikke registreringer og det datointerval, der kræves. Det skaber undgåelig GDPR-risiko og svækker tilliden.
Den tredje er, at databehandleren går for langt. En SaaS-udbyder modtager en anmodning fra retshåndhævende myndigheder om kundestyret PII og svarer uden at underrette eller involvere kunden, selv om kontrakten og PIMS-rollen kræver routing, medmindre dette er retligt forbudt.
Den fjerde er manglende gennemgang af udenlandsk myndighed. En anmodning fra en ikke-national offentlig myndighed behandles som en almindelig videregivelse uden vurdering af overførsel, DPO-gennemgang eller REG09- eller REG12-post.
Den femte er svag håndtering af bevismateriale. Logfiler eksporteres manuelt, tidsstempler er uklare, filnavne ændres, og der findes ingen hash- eller beviskæderegistrering.
Den sjette er ustyret fortrolighed. For mange medarbejdere kopieres ind i anmodningen, herunder personer uden need-to-know. Følsomme undersøgelsesdetaljer spredes gennem chatkanaler.
Den syvende er forvirring om frister. Organisationen overskrider en juridisk væsentlig svarfrist, fordi anmodningen ligger i en postkasse i stedet for i en sporet arbejdsgang.
Hver fejl kan forebygges med foruddefinerede kanaler, registre, godkendelser og standarder for bevismateriale.
Roller og beslutningsrettigheder
En praktisk styringsmodel definerer beslutningsrettigheder, før den første anmodning kommer.
| Rolle | Ansvar i arbejdsgangen for videregivelse |
|---|---|
| Frontlinjemedarbejder | Videresende anmodningen til godkendt modtagelseskanal, ikke svare indholdsmæssigt, ikke videregive PII |
| Juridisk afdeling | Validere retligt dokument, jurisdiktion, myndighed, fortrolighedsbegrænsning og svarformulering |
| DPO eller rådgiver inden for databeskyttelse | Vurdere konsekvenser efter GDPR og ISO 27701:2025, minimering, gennemsigtighed, PIMS-rolle og overførselsforhold |
| CISO | Godkende sikker indsamling af bevismateriale, sikker eksport, overførselsmetode og kobling til hændelse |
| Procesejer | Identificere relevante systemer og datakategorier, bekræfte forretningskontekst |
| PIMS-ansvarlig | Vedligeholde REG08, REG09 eller REG12, spore gennemgangsresultat, opbevare revisionsbevismateriale |
| Ledelsesgodkender | Godkende højrisiko-, udenlandske, strategiske eller omdømmefølsomme videregivelser |
| Leverandør- eller indkøbsansvarlig | Koordinere registreringer og kontraktlige forpligtelser ved tredjeparts- eller databehandlerrelaterede anmodninger |
Denne model bør indarbejdes i awareness-træning. Medarbejdere behøver ikke kende alle juridiske nuancer, men de skal kende reglen: Officielle anmodninger går til den definerede kanal, og PII videregives ikke uden autorisation.
Tjekliste for beredskab til jeres næste tabletop-øvelse
Brug denne tjekliste i en workshop om privacy governance, intern revision eller tabletop-øvelse.
- Har vi én samlet modtagelseskanal for anmodninger fra retshåndhævende myndigheder og tilsynsmyndigheder om videregivelse af PII?
- Ved medarbejderne, at de ikke må svare uformelt?
- Validerer vi anmoderens identitet ved hjælp af uafhængige kontaktkilder?
- Skelner vi mellem anmodninger fra tilsynsmyndigheder, retskendelser, anmodninger fra retshåndhævende myndigheder, kundegodkendte anmodninger og anmodninger fra udenlandske offentlige myndigheder?
- Fastlægger vi, om vi er dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler, før vi svarer?
- Dokumenterer vi behandlingsgrundlag, juridisk hjemmel, jurisdiktion og fortrolighedsbegrænsninger?
- Anvender vi dataminimering og redigerer irrelevant PII?
- Kræver vi gennemgang fra DPO eller rådgiver inden for databeskyttelse ved anmodninger med væsentlig betydning for databeskyttelse?
- Kræver vi koordinering mellem juridisk afdeling og CISO, hvor retshåndhævende eller forensiske forhold er involveret?
- Registrerer vi dataansvarliges videregivelser i REG08?
- Registrerer vi anmodninger fra udenlandske offentlige myndigheder i REG09 eller REG12?
- Sporer vi svarfrister og vedligeholder logfiler over bevismateriale?
- Bevarer vi potentielt relevant materiale og forhindrer sletning eller ændring?
- Sikrer vi videregivelsespakker med kryptering, adgangsstyring og logning af overførsel?
- Gennemfører vi gennemgang efter svar for højrisikoanmodninger?
- Rapporterer vi metrikker og læringspunkter til ledelsen?
Hvis svaret på nogen af disse er “det håndterer vi normalt via e-mail,” er processen endnu ikke revisionsklar.
Indarbejd arbejdsgangen i ISMS og PIMS
Den bedste styringsmodel lever ikke kun i juridisk afdeling. Den er en del af ISMS og PIMS.
I Zenith Blueprint anbefaler ISMS Foundation & Leadership-fasen, trin 5, at planlægge ekstern kommunikation og identificere, hvem der kommunikerer med tilsynsmyndigheder, kunder, partnere og offentligheden. Den bemærker, at juridisk rådgiver kan være involveret i formuleringen af kommunikation til tilsynsmyndigheder. Dette princip gælder direkte for officielle anmodninger om videregivelse af PII.
Controls in Action-fasen operationaliserer derefter arbejdsgangen gennem myndighedskontakt, PII-beskyttelse og indsamling af bevismateriale. Derfor behandler Clarysec’s 30-trinsguide ikke databeskyttelse, sikkerhed og efterlevelse som adskilte arbejdsspor. En reel anmodning krydser alle tre.
For forretningsejere betyder det mindre kaos. For CISO’er tydeliggør det, hvornår sikkerhedsbevismateriale kan indsamles, videregives eller bevares. For DPO’er skaber det dokumenterbar ansvarlighed efter GDPR og ISO 27701:2025. For compliance-ansvarlige producerer det registre og revisionsspor. For revisorer skaber det en klar vej fra politikkrav til operationelt bevismateriale.
Næste skridt med Clarysec
En anmodning fra en tilsynsmyndighed eller retshåndhævende myndighed er ikke tidspunktet til at opfinde jeres proces for privacy governance. Det er tidspunktet, hvor processen bliver testet.
Start med en tabletop-øvelse. Brug en realistisk anmodning fra en cybercrime-enhed, en tilsynsmyndighed eller en udenlandsk offentlig myndighed. Bed juridisk afdeling, DPO’en, CISO’en, support og den relevante procesejer gennemgå modtagelse, validering, fastlæggelse af rolle, minimering, godkendelse, sikker overførsel, registerføring, bevaring af bevismateriale og lukningsgennemgang.
Sammenlign derefter jeres svar med Clarysec’s driftsmodel:
- Brug Zenith Blueprint: en revisors 30-trins køreplan til at placere myndighedskontakt, ekstern kommunikation, PII-beskyttelse og indsamling af bevismateriale i jeres implementeringsplan for ISMS og PIMS.
- Brug Zenith Controls: vejledningen til kortlægning på tværs af efterlevelseskrav til at kortlægge forventninger fra ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST og COBIT 2019 i én revisionsklar kontrolfortælling.
- Brug Clarysec’s politikker for databeskyttelse og privatliv, hændelseshåndtering, juridisk og regulatorisk efterlevelse, indsamling af bevismateriale og digital efterforskning, PII-videregivelse, databehandlerstyring og internationale overførsler til at definere arbejdsgangsregler, registre, godkendelser og krav til bevismateriale.
Clarysec hjælper teams med at gå fra reaktiv panik til kontrolleret eksekvering. Download de relevante Clarysec-toolkits, gennemfør tabletop-øvelsen, og book en vurdering af styringen af videregivelse for at sikre, at jeres næste svar er lovligt, minimalt, godkendt, registreret, sikkert og reviderbart.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council