⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Test af ISO 27701-databeskyttelseskontroller i forhold til GDPR

Igor Petreski

Fredagens databeskyttelsesrevision, der afslørede det reelle problem

Klokken er 15:40 en fredag, da Maria, CISO i en hurtigt voksende SaaS-virksomhed, deltager i et videomøde med den ledende indkøbsansvarlige hos en stor potentiel erhvervskunde.

Hendes team har i månedsvis arbejdet på virksomhedens ledelsessystem for databeskyttelse. Politikkerne er godkendt. Fortegnelsen over behandlingsaktiviteter findes. Virksomheden har en beredskabsplan for ISO 27701. DPO’en har arbejdsgange for anmodninger fra registrerede. Juridisk afdeling har opdateret databehandleraftaler. Engineering oplyser, at adgang til produktionsmiljøet er begrænset.

Den indkøbsansvarlige indleder høfligt, men direkte.

“Tak for dokumentationen, Maria. Certifikatet og politikpakken er et godt udgangspunkt. Vores due diligence-team kommer på stedet i næste måned. De vil se jeres proces for anmodninger fra registrerede i praksis, verificere dataminimeringskontroller på vores testkonti, gennemgå adgangslogfiler for produktionsmiljøet og inspicere bevismateriale for, at databeskyttelseskontrollerne bliver testet og ikke kun dokumenteret.”

Få minutter senere modtager Maria yderligere to beskeder.

DPO’en spørger, om den nye analysefunktion er dækket af fortegnelsen over behandlingsaktiviteter, vurderingen af behandlingsgrundlag, opbevaringsplanen og kravene om videreførelse til databehandlere.

Den complianceansvarlige spørger, om gennemgangen af revisionsparatheden for ISO 27701:2025 kan dokumentere, at PIMS-kontrollerne fungerer effektivt.

Det er her, mange databeskyttelsesprogrammer begynder at vakle. Organisationen har dokumenter om databeskyttelse, men ikke dokumentation for databeskyttelse i praksis. Den har arbejdsgange, men ikke stikprøvebaseret bevismateriale. Den har kontrakter, men svage registreringer af overvågning. Den har intern tillid, men intet forsvarligt revisionsspor.

Dette hul er forskellen mellem papirefterlevelse og dokumenterbar ansvarlighed.

GDPR gør problemet eksplicit. Den dataansvarlige er ansvarlig for og skal kunne påvise overholdelse af databeskyttelsesprincipperne. Personoplysninger skal behandles lovligt, rimeligt og gennemsigtigt, til specificerede formål, begrænset til det nødvendige, være korrekte, kun opbevares så længe som nødvendigt og sikres gennem passende tekniske og organisatoriske foranstaltninger.

ISO 27701:2025 giver organisationer strukturen for databeskyttelsesstyring. ISO/IEC 27001:2022 giver ISMS-rygraden for omfang, risikobehandling, operationel styring, intern revision, ledelsens gennemgang og løbende forbedring. GDPR fastlægger den retlige ansvarlighedsbyrde. NIS2, DORA, NIST CSF 2.0, COBIT 2019-lignende assurance og kunders sikkerhedsgennemgange øger presset for at dokumentere, at kontrollerne virker.

Clarysecs synspunkt er enkelt: Test af databeskyttelseskontroller bør ikke være en årlig jagt på skærmbilleder. Det bør være et PIMS-system for bevismateriale, der kobler behandlingsaktiviteter, anvendelige kontroller, risici, stikprøver, tekniske kontroller, konstateringer, CAPA og ledelsens gennemgang i én sporbar model.

Det er her Clarysecs PIMS-politiksæt, Zenith Blueprint: An Auditor’s 30-Step Roadmap og Zenith Controls: The Cross-Compliance Guide bliver operationelle værktøjer og ikke materiale til reolen.

Test af databeskyttelseskontroller er broen mellem politik og ansvarlighed

En test af en databeskyttelseskontrol besvarer tre praktiske spørgsmål:

  1. Er kontrollen designet til at opfylde databeskyttelsesforpligtelsen eller reducere databeskyttelsesrisikoen?
  2. Er kontrollen implementeret i den relevante proces, det relevante system, team, leverandørforhold eller produktworkflow?
  3. Fungerer kontrollen effektivt over tid med bevismateriale, som kan tilfredsstille en revisor, kunde, tilsynsmyndighed eller et bestyrelsesudvalg?

En SaaS-virksomhed kan sige, at den understøtter sletningsanmodninger. En designtest kontrollerer, om sletningspolitikken, processen for identitetsverifikation, ejerskabsmodellen, koordineringen med databehandlere, opbevaringsundtagelser og håndtering af sikkerhedskopier er defineret. En test af operationel effektivitet udtager stikprøver af afsluttede sletningsanmodninger, sammenligner tidsstempler, kontrollerer godkendelser, gennemgår systemlogfiler, verificerer underretninger til efterfølgende databehandlere og bekræfter dokumentation for afslutning.

Politik for PIMS-overvågning, revision og forbedring omsætter dette til et reviderbart krav:

[Begge] Den ansvarlige for intern revision / compliance-gennemgang SKAL teste implementeringsstatus for anvendelige PIMS-kontroller mod REG03 under hver PIMS-revision.

Fra afsnittet ‘program for intern PIMS-revision’, politikklausul 4.2.5.

Formuleringen “mod REG03” er central. Test er ikke et frit formuleret interview. REG03 fungerer som reference for PIMS-kontrollers anvendelighed og implementering. Den viser, hvad der gælder, hvorfor det gælder, og hvilket bevismateriale der bør foreligge.

Den samme politik tilføjer:

[Begge] Den ansvarlige for intern revision / compliance-gennemgang SKAL registrere den udvalgte stikprøve af bevismateriale for PII-behandling i REG12 under hver PIMS-revision.

Fra afsnittet ‘program for intern PIMS-revision’, politikklausul 4.2.6.

Dette er kernen i test af ISO 27701:2025-databeskyttelseskontroller. En PIMS-revision uden en stikprøve er en samtale. En PIMS-revision med udvalgt bevismateriale, kontrolkortlægning, undtagelser, korrigerende handling og sporbarhed til ledelsens gennemgang er ansvarlighed.

Start med omfang, rolle og den faktiske behandling

De fleste svage databeskyttelsesrevisioner fejler, før testen begynder. De vælger generiske kontroller uden at bekræfte, hvilke personoplysninger der behandles, hvor de findes, hvilke systemer og leverandører der berører dem, og om organisationen agerer som dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler.

GDPR-forpligtelser afhænger i høj grad af rollen. En dataansvarlig, der beslutter hvorfor og hvordan personoplysninger behandles, har andre forpligtelser end en databehandler, der handler efter dokumenterede kundeinstrukser. Dataenes følsomhed har også betydning. Medarbejderdata, kundekontodata, telemetri, finansielle data, biometrisk verifikation, helbredsrelaterede data, sanktionsscreening og oplysninger om straffedomme og lovovertrædelser har ikke samme risiko.

Et stærkt ISO 27701:2025-testprogram starter med disciplineret fastlæggelse af omfang.

AfgrænsningsspørgsmålBevismateriale, der skal inspiceresHvorfor det er vigtigt
Hvilke PII-behandlingsaktiviteter er omfattet?Fortegnelse over behandlingsaktiviteter, dataflowkort, systemfortegnelse, leverandørregisterTest skal udtage stikprøver fra reel behandling, ikke abstrakte politikudsagn
Hvilken PIMS-rolle gælder?Kortlægning af dataansvarlig, databehandler, fælles dataansvarlig og underdatabehandlerGDPR-forpligtelser og PIMS-kontroller varierer efter rolle
Hvilke retlige, kontraktlige og regulatoriske forpligtelser gælder?GDPR-vurdering, kunders databehandleraftaler, sektorregler, vurderinger af overførslerKontroludformningen skal afspejle de faktiske forpligtelser
Hvilke systemer og leverandører behandler PII?Aktivfortegnelse, cloudfortegnelse, databehandlerliste, adgangsmatrixOperationelle test kræver teknisk bevismateriale og tredjepartsdokumentation
Hvilke ændringer påvirker PII-behandling?Produktændringsregistreringer, DPIA-udløsere, release notes, arkitekturgennemgangeDatabeskyttelse gennem design skal testes før lancering, ikke efter klager

ISO/IEC 27001:2022 understøtter denne integrerede tilgang gennem kravene til organisationens kontekst, krav fra interessenter, retlige og kontraktlige forpligtelser, ledelsessystemets omfang, operationel planlægning og risikobehandling. For databeskyttelse betyder det, at PII-behandling ikke må ligge i et løsrevet regneark. Den skal være en del af ISMS- og PIMS-driftsmodellen.

Politik for ledelsessystem for databeskyttelse kobler test af databeskyttelse direkte til styring:

[Alle] Øverste ledelse SKAL årligt gennemgå PIMS-performance, databeskyttelsesmål, åbne risici, afvigelser, korrigerende handlinger og forbedringsbeslutninger i REG12.

Fra afsnittet ‘PIMS-styring’, politikklausul 6.1.1.

Hvis test identificerer et hul i databeskyttelsen, er det ikke blot en revisionsnote. Det er et input til ledelsessystemet, som bør påvirke risikobehandling, prioriteringer, ressourcer og ledelsesbeslutninger.

Designeffektivitet versus operationel effektivitet

Når en kunde spørger, om databeskyttelseskontroller testes, mener de typisk operationel effektivitet. Revisorer vil dog også undersøge designeffektivitet.

En kontrol med effektivt design er egnet til at opfylde kravet, hvis den udføres som tilsigtet. En kontrol med operationel effektivitet udføres faktisk konsekvent og understøttes af bevismateriale.

KontrolområdeTest af designeffektivitetTest af operationel effektivitet
Indhentning af samtykkeVerificer politik, samtykketekst, regler for behandlingsgrundlag, UI-krav og arbejdsgang for tilbagetrækning af samtykkeUdtag stikprøver af samtykkeregistreringer og tilbagetrækninger, sammenlign tidsstempler, verificer fravalg efter tilbagetrækning
FormålsbegrænsningGennemgå RoPA, privatlivsmeddelelse, produktkrav, adskillelse af samtykker og regler for databrugUdtag stikprøver af brugerregistreringer, logfiler, eksporter og analyseflows for at bekræfte, at PII ikke genbruges til uautoriserede formål
Adgang til PIIGennemgå adgangspolitik, rollemodel, procedure for tiltrædelser, omplaceringer og fratrædelser samt godkendelsesarbejdsgangUdtag stikprøver af brugere med adgang til PII, verificer godkendelse, forretningsbehov, MFA og seneste adgangsgennemgang
Onboarding af databehandlerGennemgå due diligence-kriterier, databehandleraftaleklausuler, regler for underdatabehandlere og fornødne garantier ved overførselUdtag stikprøve af en databehandler, inspicer vurdering, kontrakt, sikkerhedsgennemgang og bevismateriale for løbende overvågning af underdatabehandlere
Opbevaring og sletningGennemgå opbevaringsplan, undtagelsesregler, sletningsprocedure og systemkapacitetUdtag stikprøver af slettede registreringer eller sletningsanmodninger, inspicer logfiler, sager og bekræftelser fra databehandlere
Håndtering af brudGennemgå hændelsesklassificering, eskalering vedrørende databeskyttelse og kriterier for underretning af myndighederUdtag stikprøver af hændelsesregistreringer, verificer triage, beslutningsgrundlag, underretninger og læringspunkter

Politik for revision og overvågning af efterlevelse angiver formålet direkte:

Validere effektiviteten af sikkerheds- og databeskyttelseskontroller

Fra afsnittet ‘Formål’, politikklausul 1.1.1.

SMV-versionen fastholder samme assurance-princip i operationelt sprog. Politik for revision og overvågning af efterlevelse - SMV siger:

Denne politik fastlægger organisationens tilgang til gennemførelse af interne revisioner, gennemgange af sikkerhedskontroller og overvågning af efterlevelse. Den sikrer, at alle kontroller, politikker, systemer og tjenesteudbydere er omfattet af regelmæssig og struktureret gennemgang.

Fra afsnittet ‘Formål’, politikklausul 1.1.

ISO 27701-parathed handler ikke om virksomhedsstørrelse. En SaaS-databehandler med 30 medarbejdere har måske ikke behov for samme revisionsværktøjer som en global bank, men den skal stadig kunne dokumentere, at adgang, sletning, hændelseseskalering, styring af underdatabehandlere og opbevaring af bevismateriale er kontrolleret.

Clarysecs beviskæde: REG03, REG12, CAPA og gennemgang

Clarysec strukturerer test af databeskyttelseskontroller omkring en enkel beviskæde.

REG03 definerer anvendelige PIMS-kontroller og implementeringsstatus. REG12 registrerer stikprøver, bevismateriale, konstateringer, mangler i sporbarhed, verifikation af korrigerende handlinger og input til ledelsens gennemgang. CAPA-registreringer omsætter konstateringer til forbedringer baseret på rodårsager. Øverste ledelse gennemgår PIMS-performance, risici, afvigelser, korrigerende handlinger og forbedringsbeslutninger.

Politik for dokumenteret information og bevismateriale i PIMS kræver, at kvalitetsproblemer ved bevismateriale registreres:

[Alle] Den ansvarlige for intern revision / compliance-gennemgang SKAL registrere mangler i bevismaterialets fuldstændighed, nøjagtighed eller sporbarhed i REG12 under hver planlagt revision eller efterlevelsesgennemgang.

Fra afsnittet ‘Oprettelse, navngivning og kvalitet af bevismateriale’, politikklausul 4.3.4.

Dette er vigtigt, fordi ikke alle konstateringer er et totalt kontrolsvigt. Nogle gange har kontrollen fungeret, men bevismaterialet er ufuldstændigt. Nogle gange er en sletningssag lukket, men ingen systemlog dokumenterer sletningen. Nogle gange nævner fortegnelsen over behandlingsaktiviteter CRM-systemet, men mangler eksporten til data warehouse. Nogle gange findes leverandørkontrakten, men den løbende overvågning mangler.

Politik for revision og overvågning af efterlevelse kræver også strukturerede interne revisioner:

Interne revisioner skal følge en dokumenteret procedure, der omfatter:

Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.1.1.

Og når der opstår konstateringer:

Alle konstateringer skal resultere i en dokumenteret CAPA, der omfatter:

Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.2.1.

Politik for risikostyring - SMV styrker disciplinen for afslutning:

Gennemførelse og effektivitet af behandlingshandlinger skal verificeres.

Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.3.2.

Politik for PIMS-overvågning, revision og forbedring lukker sløjfen:

[Alle] Den ansvarlige for intern revision / compliance-gennemgang SKAL verificere effektiviteten af korrigerende handlinger i REG12 inden for 30 dage efter rapporteret lukning af den korrigerende handling.

Fra afsnittet ‘Afvigelse og korrigerende handling’, politikklausul 4.4.7.

Dette er forskellen på at lukke en sag og forbedre et ledelsessystem.

Praktisk test 1: sletningsanmodninger og GDPR-ansvarlighed

Sletningsanmodninger er en af de klareste måder at teste, om ansvarlighed for databeskyttelse fungerer i praksis.

Antag, at en mellemstor SaaS-virksomhed agerer som både dataansvarlig og databehandler. Den kontrollerer medarbejder-, marketing- og faktureringsdata. Den behandler slutbrugerdata fra kunder på vegne af erhvervskunder. Organisationen vil teste, om sletningskontrollerne er klar til ISO 27701:2025-revision og GDPR-assurance over for kunder.

Trin 1: Vælg behandlingsaktiviteten fra REG03

Vælg en behandlingsaktivitet med reel databeskyttelsesrisiko, f.eks. “kundens slutbrugerprofildata behandlet i SaaS-platformen”. Bekræft, om organisationen agerer som dataansvarlig, databehandler eller begge dele. Identificer tilknyttede kontroller for rettighedshåndtering, validering af databehandlerinstrukser, opbevaring, sletning, adgangsstyring, logning, håndtering af sikkerhedskopier og leverandørkoordinering.

Trin 2: Definér et præcist testmål

Et nyttigt testmål er specifikt og styret af bevismateriale:

“Verificer, at sletningsanmodninger vedrørende kundens slutbrugerprofildata modtages, autentificeres eller valideres mod instruks, udføres inden for den definerede arbejdsgang, logges, teknisk gennemføres i produktionssystemer, videreføres til relevante underdatabehandlere, hvor det kræves, og lukkes med bevismateriale.”

Trin 3: Udtag en repræsentativ stikprøve

Vælg fem sletningsanmodninger fra det seneste kvartal. Medtag én rutineanmodning, én anmodning, der involverer en kundeadministrator, én anmodning baseret på databehandlerinstruks, én anmodning med en opbevaringsundtagelse og én anmodning, der berører håndtering af sikkerhedskopier.

Zenith Blueprint fremhæver i fasen Audit, Review & Improvement, trin 26: Audit Execution, betydningen af stikprøver og indsamling af bevismateriale:

✓ Interview relevant personale: Bed de personer, der er ansvarlige for processer, forklare, hvordan de opfylder kravene. Spørg f.eks. risikoejeren om den seneste risikovurdering, eller spørg HR, hvordan nyansatte trænes i sikkerhed (for at dække kontrol 6.3 om awareness).
✓ Gennemgå dokumentation: Kontroller, at dokumenter og registreringer findes og er aktuelle.
✓ Observer praksis: Hvis det er muligt, foretag en direkte observation.
✓ Udtag stikprøver og foretag stikprøvekontrol: Du kan ikke kontrollere alt, så brug stikprøver.

Fra fasen Audit, Review & Improvement, trin 26: Audit Execution (Conducting an Internal Audit).

Trin 4: Inspicer bevismateriale for hver stikprøve

For hver udtaget anmodning indsamles intake-sagen, rolleklassificering, identitetsverifikation eller kundegodkendelse, systemets sletningslog, beslutning om opbevaringsundtagelse, forklaring af håndtering af sikkerhedskopier, underretning til underdatabehandler, afsluttende kommunikation, tidsstempler og gennemgangsgodkendelse.

Trin 5: Registrer resultaterne i REG12

Registrer stikprøven, beviskilde, kontrolresultat, undtagelse og mangel i sporbarhed i REG12. Hvis sletningen fandt sted, men der ikke findes nogen produktionslog, kan kontrollen have fungeret, men bevismaterialet er svagt. Hvis anmodningen blev forsinket, fordi leverandøransvaret var uklart, kan konstateringen vedrøre tredjepartsstyring og kontraktlig videreførelse.

Trin 6: Opret CAPA og verificer effektivitet

Hvis rodårsagen er uklart ejerskab mellem support, juridisk afdeling og engineering, kan CAPA’en omfatte en revideret arbejdsgang, opdateret RACI, obligatoriske felter for bevismateriale og månedlige stikprøvekontroller af sletninger.

Zenith Blueprint forklarer i fasen Audit, Review & Improvement, trin 29, forventningen til afslutning:

Planlæg, hvordan du vil verificere effektiviteten af hver korrigerende handling. Det kan betyde planlægning af en opfølgende revision eller kontrol. Hvis den korrigerende handling f.eks. var at træne IT-medarbejdere i adgangsstyring, kan du planlægge at gennemgå nye konti om én måned for at se, om alle har de rette godkendelser (verifikation).

Fra fasen Audit, Review & Improvement, trin 29: Continual Improvement (Corrective Actions & Lessons Learned).

For sletning kan verifikation betyde, at de næste fem sletningsanmodninger efter idriftsættelse af den reviderede arbejdsgang udtages som stikprøve. Først derefter bør CAPA’en lukkes.

Praktisk test 2: formålsbegrænsning og dataminimering

En anden test med høj værdi er formålsbegrænsning. Den er især relevant før kunders due diligence, lancering af analysefunktioner, AI-berigelse, udvidelse af data warehouse eller ændringer i marketingautomatisering.

Marias SaaS-platform indsamler kundebrugerdata til levering af tjenesten. Kontrolmålet er at sikre, at PII kun anvendes til specificerede og legitime formål og ikke genbruges til marketinganalyse, medmindre brugeren har givet udtrykkeligt og særskilt samtykke, hvor det kræves.

Type bevismaterialeSpecifikke artefakter
DokumentationDatabeskyttelses- og privatlivspolitik, RoPA, kundens databehandleraftale, privatlivsmeddelelser, samtykkestyringsregistreringer
Teknisk konfigurationRegler for datahåndtering i applikationen, databaseskemaer, API-konfigurationer, indstillinger for ETL-jobs
Logfiler og registreringerApplikationsadgangslogfiler, databaseforespørgselslogfiler, ændringshistorik for samtykke, registreringer af kampagneeksport
PersonalebevismaterialeInterview med produktejer, ledende udvikler, databaseadministrator og databeskyttelsesansvarlig

En stærk operationel test stopper ikke ved politikken. Den udtager stikprøver af brugere, der har tilvalgt marketing, og brugere, der ikke har. Den sporer, om samtykkestatus afspejles korrekt på tværs af centrale applikationsdatabaser, data warehouse-tabeller, kampagneværktøjer, dashboards og eksporter. Hvis brugere uden samtykke indgår i en marketingmålgruppe, har organisationen en konkret afvigelse.

SMV-versionen af Politik for revision og overvågning af efterlevelse giver det rette udgangspunkt gennem et eksempel på teknisk test:

Teknisk kontrolverifikation (f.eks. backupstatus, konfiguration af adgangsstyring, patchregistreringer)

Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.1.1.2.

For databeskyttelse omfatter teknisk kontrolverifikation kontrol af samtykkesynkronisering, eksport af adgangsrettigheder, sletningslogfiler, krypteringsindstillinger, test af datamaskering, DLP-alarmer, begrænsninger for sikkerhedskopier, overvågningshændelser og leverandørdokumentation.

Kortlægning af test af databeskyttelse til ISO/IEC 27001:2022 og Clarysecs tværgående compliance

Databeskyttelseskontroller fungerer ikke isoleret. Beskyttelse af PII afhænger af aktivfortegnelse, klassificering, adgangsstyring, cloudstyring, datamaskering, informationsoverførsel, logning, overvågning, sletning, beskyttelse af registreringer, leverandørtilsyn og uafhængig gennemgang.

I Zenith Controls: The Cross-Compliance Guide kortlægges ISO/IEC 27001:2022 Annex A-kontrol 5.34, Privacy and protection of PII, som en forebyggende kontrol, der er tilpasset fortrolighed, integritet og tilgængelighed, med cybersikkerhedskoncepterne Identify og Protect samt operationelle kapaciteter inden for Information Protection plus Legal and Compliance.

Forholdet til fortegnelsen er direkte:

En fortegnelse over informationsaktiver (5.9) bør omfatte PII-databeholdninger (kundedatabaser, HR-filer). Dette understøtter 5.34 ved at sikre, at organisationen ved, hvilken PII den har og hvor, hvilket er første skridt mod at beskytte den.

Fra Zenith Controls, Privacy and Protection of PII, kontrol 5.34.

Ved revisionstest betyder det, at databeskyttelsesrevisoren ikke bør begynde med privatlivsmeddelelsen alene. Revisoren bør begynde med PII-fortegnelsen, fortegnelsen over behandlingsaktiviteter, dataflows, aktivfortegnelsen og leverandørfortegnelsen. Hvis fortegnelsen er ufuldstændig, kan de efterfølgende databeskyttelseskontroller ikke være fuldt pålidelige.

Vejledningen kortlægger også ISO/IEC 27001:2022 Annex A-kontrol 5.34 til relaterede kontroller såsom 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.14 Information transfer, 5.15 Access control, 5.16 Identity management, 5.23 Information security for use of cloud services, 5.33 Protection of records, 8.11 Data masking, 8.12 Data leakage prevention og 8.10 Information deletion.

To yderligere ISO/IEC 27001:2022 Annex A-kontroller er særligt relevante:

ISO/IEC 27001:2022-kontrolRelevans for test af databeskyttelseEksempel på bevismateriale
5.34 Privacy and protection of PIIBekræfter, at krav til databeskyttelse og beskyttelse af PII er implementeret på grundlag af love, regler og kontrakterFortegnelse over behandlingsaktiviteter, DPIA’er, registreringer af behandlingsgrundlag, DSR-bevismateriale, opbevaringslogfiler
5.35 Independent review of information securityGiver objektiv validering af, at sikkerhedsforanstaltninger, herunder kontroller med relevans for databeskyttelse, gennemgås uafhængigtInterne revisionsrapporter, resultater fra eksterne gennemgange, REG12-stikprøver, CAPA-registreringer
5.36 Compliance with policies, rules and standards for information securityBekræfter løbende overholdelse af interne regler og standarderGennemgange af politikefterlevelse, adgangskontroller, overvågningsresultater, undtagelseslogfiler

Databeskyttelses- og privatlivspolitik kræver:

En intern efterlevelsesrevision vedrørende databeskyttelse skal gennemføres årligt eller ved større organisatoriske eller regulatoriske ændringer. Revisionens omfang skal omfatte:

Fra afsnittet ‘Styringskrav’, politikklausul 5.4.

Den omfatter endvidere:

Effektiviteten af tekniske og organisatoriske foranstaltninger

Fra afsnittet ‘Styringskrav’, politikklausul 5.4.1.

Databeskyttelses- og privatlivspolitik - SMV fastholder den samme forventning i praktisk form:

Regelmæssige databeskyttelsesrevisioner eller kontrolgennemgange skal udføres og logges

Fra afsnittet ‘Styringskrav’, politikklausul 5.3.3.

Hvorfor GDPR-ansvarlighed nu er et spørgsmål om cybersikkerhedsstyring

Bevismateriale for databeskyttelse efterspørges ikke længere kun af databeskyttelsesrevisorer. Den samme dokumentation kan blive efterspurgt af en ISO 27701:2025-revisor, en ISO/IEC 27001:2022-revisor, en GDPR-gennemgangsansvarlig, en kompetent NIS2-myndighed, en DORA-reguleret kunde, en NIST CSF-vurderingspart eller et risikoudvalg i bestyrelsen.

NIS2 Article 21 kræver, at væsentlige og vigtige enheder implementerer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici. Article 21(2)(f) omfatter udtrykkeligt politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici. NIS2 gør også ledelsesorganer ansvarlige for at godkende og føre tilsyn med foranstaltninger til styring af cybersikkerhedsrisici.

DORA finder anvendelse fra 17 January 2025 for finansielle enheder og fastlægger et detaljeret regelsæt for digital operationel robusthed. Den kræver styring af IKT-risiko, ledelsesorganets tilsyn, intern revision, afhjælpning af kritiske konstateringer, hændelsesklassificering og rapportering, robusthedstest, styring af IKT-risici hos tredjeparter, kontraktlige kontroller, registre over IKT-serviceaftaler og exitstrategier. IKT-udbydere, der leverer til finansielle enheder, bør forvente DORA-drevne anmodninger om bevismateriale gennem assurance over for kunder.

NIST CSF 2.0 giver et nyttigt oversættelseslag. GOVERN-funktionen forventer, at organisationer forstår interessenters forventninger, afhængigheder og retlige, regulatoriske, kontraktlige, databeskyttelsesrelaterede og borgerrettighedsrelaterede forpligtelser. Tilgangen med Profiles hjælper med at sammenligne aktuelle resultater med målresultater, identificere huller og prioritere handlingsplaner.

KravpresHvad test af databeskyttelseskontroller bør frembringeClarysec-forankring
GDPR-ansvarlighedBevismateriale for, at principper, behandlingsgrundlag, rettigheder, sikkerhed, opbevaring og databehandlerforpligtelser dokumenterbart opfyldesPIMS-politikker, REG03, REG12, CAPA
ISO 27701:2025-parathedTestede PIMS-kontroller, rollebaseret anvendelighed, kvalitet af bevismateriale, intern revision, ledelsens gennemgangPolitik for PIMS-overvågning, revision og forbedring
ISO/IEC 27001:2022-assuranceSporbarhed i risikobehandling, SoA-begrundelse, operationel styring, revision, gennemgang, forbedringZenith Blueprint, Zenith Controls cross-compliance guide
NIS2-styringEffektivitetsvurdering, hændelsesberedskab, leverandørkontroller, ledelsestilsynKortlægning til ISO/IEC 27001:2022 Annex A-kontrollerne 5.35 og 5.36
DORA-assuranceTest af IKT-kontroller, robusthedstest, tredjepartsdokumentation, registreringer for hændelseslivscyklusTværkortlagt model for revisionsbevismateriale
NIST CSF 2.0Aktuel profil, målprofil, gapanalyse, prioriteret forbedringZenith Blueprint trin 24, 26, 29

Zenith Blueprint styrker sporbarheden i trin 24:

Din SoA bør være konsistent med dit risikoregister og din risikobehandlingsplan. Dobbelttjek, at hver kontrol, du har valgt som risikobehandling, er markeret som “Applicable” i SoA’en. Omvendt bør du, hvis en kontrol er markeret som “Applicable” i SoA’en, have en begrundelse for den – typisk en kortlagt risiko, et juridisk/regulatorisk krav eller et forretningsbehov.

Fra fasen Audit, Review & Improvement, trin 24: Audit, Review & Improvement.

For test af databeskyttelseskontroller gælder det samme princip for PIMS-anvendelighed. Hver anvendelig databeskyttelseskontrol bør kunne spores til en behandlingsrisiko, retlig forpligtelse, kundekrav eller et forretningsbehov. Hver test bør kunne spores tilbage til den pågældende kontrol.

Hvordan forskellige revisorer vil vurdere den samme kontrol

Et stærkt testprogram for databeskyttelse tager højde for revisors perspektiv. Den samme sletningskontrol, adgangsstyringskontrol eller onboardingkontrol for databehandlere vil blive fortolket forskelligt afhængigt af gennemgangskonteksten.

Revisors perspektivSandsynligt revisionsspørgsmålForventet bevismateriale
ISO 27701:2025-revisorEr rollebaserede PIMS-kontroller implementeret, evalueret og forbedret?REG03-anvendelighed, REG12-stikprøver, fortegnelse over behandlingsaktiviteter, politikkortlægning, revisionsresultater
ISO/IEC 27001:2022-revisorEr den databeskyttelsesrelaterede kontrol integreret i risikobehandling, SoA, operationel styring, intern revision og ledelsens gennemgang?Risikoregister, SoA-begrundelse, behandlingsplan, bevismateriale for kontroller, referater fra ledelsens gennemgang
GDPR-gennemgangsansvarligKan den dataansvarlige dokumentere overholdelse af GDPR-principper og -forpligtelser?Behandlingsgrundlag, meddelelser, DSR-logfiler, DPIA’er, kontrakter, brudregistreringer, opbevaringsdokumentation
NIST CSF-vurderingspartKender organisationen sine forpligtelser, definerer målresultater, måler huller og forbedrer?Aktuel profil og målprofil, gapplan, risikoprioritering, styringsregistreringer
DORA-orienteret kunde eller tilsynsmyndighedTestes IKT-kontroller, klassificeres hændelser, overvåges leverandører, og er kritiske tjenester robuste?Testprogram, hændelsesregistreringer, leverandørregister, kontrakter, exitplaner
ISACA- eller COBIT 2019-lignende revisorEr mål, ejerskab, metrikker, lukning af sager og styringstilsyn effektive?RACI, KPI’er, sagslogfiler, CAPA-verifikation, ledelsesrapportering

Derfor er REG12 så værdifuld. Den omsætter efterlevelse af databeskyttelse til reviderbart styringsbevismateriale.

Almindelige konstateringer ved test af PIMS-kontroller

Clarysec ser gentagne gange de samme revisionskonstateringer vedrørende databeskyttelse hos organisationer, der forbereder sig på ISO 27701:2025-certificering, GDPR-assurance over for kunder eller due diligence hos store erhvervskunder.

Fortegnelsen over behandlingsaktiviteter matcher ikke systemvirkeligheden

Fortegnelsen over behandlingsaktiviteter nævner CRM- og supportplatforme, men udviklere har tilføjet analyseeksporter, observability-logfiler, AI-værktøjer og data warehouse-tabeller.

Testrespons: Udtag stikprøver af systemer fra aktivfortegnelsen og cloudfortegnelsen, og afstem dem derefter med fortegnelsen over behandlingsaktiviteter. Brug forholdet mellem ISO/IEC 27001:2022 Annex A-kontrollerne 5.9 og 5.34 som revisionsbegrundelse.

PII-adgang er godkendt, men gennemgås ikke periodisk

Indledende godkendelser findes, men gennemgang af privilegeret adgang omfatter ikke værktøjer til support-impersonering, produktionsdatabaser, BI-dashboards eller nødkonti.

Testrespons: Udtag stikprøver af aktive brugere med adgang til PII, og sammenlign rolle, forretningsbehov, godkendelse, MFA-status, seneste login og bevismateriale for gennemgang.

Databehandlerkontrakter findes, men overvågningen er svag

Databehandleraftalen er underskrevet, men leverandørspørgeskemaet er gammelt. Ingen har gennemgået ændringer i underdatabehandlere, datalokationer, sikkerhedstilstand eller forpligtelser til hændelsesunderretning.

Testrespons: Udtag stikprøver af kritiske databehandlere, og inspicer due diligence, kontraktlige klausuler, ændringer i underdatabehandlere, fornødne garantier ved overførsel og overvågningsregistreringer. Dette understøtter GDPR, NIS2-forventninger til forsyningskæden og DORA-forventninger til tredjepartsrisiko.

Hændelseshåndtering findes, men databeskyttelsesklassificering er inkonsistent

Sikkerhedshændelser logges, men påvirkning af databeskyttelse vurderes ikke altid. GDPR-kriterier for brud dokumenteres ikke konsekvent. Kunders underretningsforpligtelser håndteres uformelt.

Testrespons: Udtag stikprøver af hændelser, der involverer dataeksponering, og inspicer klassificering, databeskyttelseseskalering, juridisk gennemgang, underretningsbeslutninger, sikring af bevismateriale, rodårsag og læringspunkter.

CAPA lukkes uden verifikation af effektivitet

En procedure opdateres, og konstateringen lukkes. Ingen tester, om den næste stikprøve blev forbedret.

Testrespons: Verificer effektiviteten af korrigerende handlinger i REG12 inden for 30 dage efter rapporteret lukning, som krævet af Politik for PIMS-overvågning, revision og forbedring.

Et 90-dages sprint for test af databeskyttelseskontroller

For organisationer, der bevæger sig mod ISO 27701:2025-parathed, kunders due diligence eller gennemgang af GDPR-ansvarlighed, anbefaler Clarysec et fokuseret 90-dages sprint.

TidslinjeFokusLeverancer
Dag 1 til 15Omfang og bevismodelPIMS-roller, fortegnelse over behandlingsaktiviteter, REG03-anvendelighed, prioriterede risici, retlige forpligtelser, leverandørafhængigheder, regler for navngivning af bevismateriale
Dag 16 til 35DesigntestGennemgang af politikker, RACI, privatlivsmeddelelser, behandlingsgrundlag, DPIA-udløsere, DSR-arbejdsgange, hændelsesklassificering, opbevaringsplaner, leverandørkontroller
Dag 36 til 65Operationel testStikprøver for adgang, sletning, hændelser, databehandlere, overførsler, opbevaring, træning, teknisk overvågning, REG12-bevismateriale
Dag 66 til 80CAPA og risikobehandlingRodårsag, korrigerende handling, ejer, forfaldsdato, restrisiko, verifikationsmetode
Dag 81 til 90Parathed til ledelsens gennemgangPIMS-performancepakke, mål, åbne risici, afvigelser, korrigerende handlinger, leverandørforhold, forbedringsbeslutninger

Ved sprintets afslutning bør organisationen kunne besvare de spørgsmål, revisorer faktisk stiller:

  • Hvilken PII behandler I?
  • I hvilken rolle?
  • Hvilke kontroller gælder?
  • Hvorfor er de anvendelige?
  • Hvilket bevismateriale dokumenterer, at de er implementeret?
  • Hvilken stikprøve dokumenterer, at de fungerer?
  • Hvilke huller blev identificeret?
  • Hvilke korrigerende handlinger blev gennemført?
  • Hvem verificerede effektiviteten?
  • Hvad gennemgik og besluttede øverste ledelse?

Fra papirdatabeskyttelse til dokumenterbar ansvarlighed

Et ISO 27701-certifikat er værdifuldt, men det er ikke slutmålet. Kunder, tilsynsmyndigheder, bestyrelser og revisorer forventer i stigende grad dokumentation for, at databeskyttelseskontroller er designet, implementeret, overvåget, korrigeret og underlagt styring.

Efterlevelse af databeskyttelse fejler, når den behandles som et dokumentationsprojekt. Den tåler kontrol, når den bliver et testet system for bevismateriale.

Clarysec hjælper organisationer med at bevæge sig fra påstået efterlevelse til dokumenterbar ansvarlighed ved at forbinde PIMS-politikker, REG03-anvendelighed, REG12-stikprøver af bevismateriale, CAPA-verifikation, ledelsens gennemgang og kortlægning på tværs af rammeværker gennem Zenith Blueprint: An Auditor’s 30-Step Roadmap og Zenith Controls: The Cross-Compliance Guide.

Hvis din organisation forbereder sig på ISO 27701:2025-certificering, gennemgang af GDPR-ansvarlighed, assurance vedrørende databeskyttelse over for kunder, NIS2-styringsdokumentation eller DORA-drevet due diligence af leverandører, bør I starte med en fokuseret workshop om test af databeskyttelseskontroller.

Clarysec kan hjælpe jer med at kortlægge REG03-anvendelighed, opbygge REG12-revisionsstikprøver, teste prioriterede PIMS-kontroller, koble konstateringer til CAPA og forberede output til ledelsens gennemgang, der kan tåle kontrol.

Jeres næste databeskyttelsesrevision bør ikke være en jagt på skærmbilleder. Den bør være en sikker demonstration af, at databeskyttelse fungerer, er dokumenteret med bevismateriale, gennemgås og forbedres løbende.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article