Test af ISO 27701-databeskyttelseskontroller i forhold til GDPR

Fredagens databeskyttelsesrevision, der afslørede det reelle problem
Klokken er 15:40 en fredag, da Maria, CISO i en hurtigt voksende SaaS-virksomhed, deltager i et videomøde med den ledende indkøbsansvarlige hos en stor potentiel erhvervskunde.
Hendes team har i månedsvis arbejdet på virksomhedens ledelsessystem for databeskyttelse. Politikkerne er godkendt. Fortegnelsen over behandlingsaktiviteter findes. Virksomheden har en beredskabsplan for ISO 27701. DPO’en har arbejdsgange for anmodninger fra registrerede. Juridisk afdeling har opdateret databehandleraftaler. Engineering oplyser, at adgang til produktionsmiljøet er begrænset.
Den indkøbsansvarlige indleder høfligt, men direkte.
“Tak for dokumentationen, Maria. Certifikatet og politikpakken er et godt udgangspunkt. Vores due diligence-team kommer på stedet i næste måned. De vil se jeres proces for anmodninger fra registrerede i praksis, verificere dataminimeringskontroller på vores testkonti, gennemgå adgangslogfiler for produktionsmiljøet og inspicere bevismateriale for, at databeskyttelseskontrollerne bliver testet og ikke kun dokumenteret.”
Få minutter senere modtager Maria yderligere to beskeder.
DPO’en spørger, om den nye analysefunktion er dækket af fortegnelsen over behandlingsaktiviteter, vurderingen af behandlingsgrundlag, opbevaringsplanen og kravene om videreførelse til databehandlere.
Den complianceansvarlige spørger, om gennemgangen af revisionsparatheden for ISO 27701:2025 kan dokumentere, at PIMS-kontrollerne fungerer effektivt.
Det er her, mange databeskyttelsesprogrammer begynder at vakle. Organisationen har dokumenter om databeskyttelse, men ikke dokumentation for databeskyttelse i praksis. Den har arbejdsgange, men ikke stikprøvebaseret bevismateriale. Den har kontrakter, men svage registreringer af overvågning. Den har intern tillid, men intet forsvarligt revisionsspor.
Dette hul er forskellen mellem papirefterlevelse og dokumenterbar ansvarlighed.
GDPR gør problemet eksplicit. Den dataansvarlige er ansvarlig for og skal kunne påvise overholdelse af databeskyttelsesprincipperne. Personoplysninger skal behandles lovligt, rimeligt og gennemsigtigt, til specificerede formål, begrænset til det nødvendige, være korrekte, kun opbevares så længe som nødvendigt og sikres gennem passende tekniske og organisatoriske foranstaltninger.
ISO 27701:2025 giver organisationer strukturen for databeskyttelsesstyring. ISO/IEC 27001:2022 giver ISMS-rygraden for omfang, risikobehandling, operationel styring, intern revision, ledelsens gennemgang og løbende forbedring. GDPR fastlægger den retlige ansvarlighedsbyrde. NIS2, DORA, NIST CSF 2.0, COBIT 2019-lignende assurance og kunders sikkerhedsgennemgange øger presset for at dokumentere, at kontrollerne virker.
Clarysecs synspunkt er enkelt: Test af databeskyttelseskontroller bør ikke være en årlig jagt på skærmbilleder. Det bør være et PIMS-system for bevismateriale, der kobler behandlingsaktiviteter, anvendelige kontroller, risici, stikprøver, tekniske kontroller, konstateringer, CAPA og ledelsens gennemgang i én sporbar model.
Det er her Clarysecs PIMS-politiksæt, Zenith Blueprint: An Auditor’s 30-Step Roadmap og Zenith Controls: The Cross-Compliance Guide bliver operationelle værktøjer og ikke materiale til reolen.
Test af databeskyttelseskontroller er broen mellem politik og ansvarlighed
En test af en databeskyttelseskontrol besvarer tre praktiske spørgsmål:
- Er kontrollen designet til at opfylde databeskyttelsesforpligtelsen eller reducere databeskyttelsesrisikoen?
- Er kontrollen implementeret i den relevante proces, det relevante system, team, leverandørforhold eller produktworkflow?
- Fungerer kontrollen effektivt over tid med bevismateriale, som kan tilfredsstille en revisor, kunde, tilsynsmyndighed eller et bestyrelsesudvalg?
En SaaS-virksomhed kan sige, at den understøtter sletningsanmodninger. En designtest kontrollerer, om sletningspolitikken, processen for identitetsverifikation, ejerskabsmodellen, koordineringen med databehandlere, opbevaringsundtagelser og håndtering af sikkerhedskopier er defineret. En test af operationel effektivitet udtager stikprøver af afsluttede sletningsanmodninger, sammenligner tidsstempler, kontrollerer godkendelser, gennemgår systemlogfiler, verificerer underretninger til efterfølgende databehandlere og bekræfter dokumentation for afslutning.
Politik for PIMS-overvågning, revision og forbedring omsætter dette til et reviderbart krav:
[Begge] Den ansvarlige for intern revision / compliance-gennemgang SKAL teste implementeringsstatus for anvendelige PIMS-kontroller mod REG03 under hver PIMS-revision.
Fra afsnittet ‘program for intern PIMS-revision’, politikklausul 4.2.5.
Formuleringen “mod REG03” er central. Test er ikke et frit formuleret interview. REG03 fungerer som reference for PIMS-kontrollers anvendelighed og implementering. Den viser, hvad der gælder, hvorfor det gælder, og hvilket bevismateriale der bør foreligge.
Den samme politik tilføjer:
[Begge] Den ansvarlige for intern revision / compliance-gennemgang SKAL registrere den udvalgte stikprøve af bevismateriale for PII-behandling i REG12 under hver PIMS-revision.
Fra afsnittet ‘program for intern PIMS-revision’, politikklausul 4.2.6.
Dette er kernen i test af ISO 27701:2025-databeskyttelseskontroller. En PIMS-revision uden en stikprøve er en samtale. En PIMS-revision med udvalgt bevismateriale, kontrolkortlægning, undtagelser, korrigerende handling og sporbarhed til ledelsens gennemgang er ansvarlighed.
Start med omfang, rolle og den faktiske behandling
De fleste svage databeskyttelsesrevisioner fejler, før testen begynder. De vælger generiske kontroller uden at bekræfte, hvilke personoplysninger der behandles, hvor de findes, hvilke systemer og leverandører der berører dem, og om organisationen agerer som dataansvarlig, databehandler, fælles dataansvarlig eller underdatabehandler.
GDPR-forpligtelser afhænger i høj grad af rollen. En dataansvarlig, der beslutter hvorfor og hvordan personoplysninger behandles, har andre forpligtelser end en databehandler, der handler efter dokumenterede kundeinstrukser. Dataenes følsomhed har også betydning. Medarbejderdata, kundekontodata, telemetri, finansielle data, biometrisk verifikation, helbredsrelaterede data, sanktionsscreening og oplysninger om straffedomme og lovovertrædelser har ikke samme risiko.
Et stærkt ISO 27701:2025-testprogram starter med disciplineret fastlæggelse af omfang.
| Afgrænsningsspørgsmål | Bevismateriale, der skal inspiceres | Hvorfor det er vigtigt |
|---|---|---|
| Hvilke PII-behandlingsaktiviteter er omfattet? | Fortegnelse over behandlingsaktiviteter, dataflowkort, systemfortegnelse, leverandørregister | Test skal udtage stikprøver fra reel behandling, ikke abstrakte politikudsagn |
| Hvilken PIMS-rolle gælder? | Kortlægning af dataansvarlig, databehandler, fælles dataansvarlig og underdatabehandler | GDPR-forpligtelser og PIMS-kontroller varierer efter rolle |
| Hvilke retlige, kontraktlige og regulatoriske forpligtelser gælder? | GDPR-vurdering, kunders databehandleraftaler, sektorregler, vurderinger af overførsler | Kontroludformningen skal afspejle de faktiske forpligtelser |
| Hvilke systemer og leverandører behandler PII? | Aktivfortegnelse, cloudfortegnelse, databehandlerliste, adgangsmatrix | Operationelle test kræver teknisk bevismateriale og tredjepartsdokumentation |
| Hvilke ændringer påvirker PII-behandling? | Produktændringsregistreringer, DPIA-udløsere, release notes, arkitekturgennemgange | Databeskyttelse gennem design skal testes før lancering, ikke efter klager |
ISO/IEC 27001:2022 understøtter denne integrerede tilgang gennem kravene til organisationens kontekst, krav fra interessenter, retlige og kontraktlige forpligtelser, ledelsessystemets omfang, operationel planlægning og risikobehandling. For databeskyttelse betyder det, at PII-behandling ikke må ligge i et løsrevet regneark. Den skal være en del af ISMS- og PIMS-driftsmodellen.
Politik for ledelsessystem for databeskyttelse kobler test af databeskyttelse direkte til styring:
[Alle] Øverste ledelse SKAL årligt gennemgå PIMS-performance, databeskyttelsesmål, åbne risici, afvigelser, korrigerende handlinger og forbedringsbeslutninger i REG12.
Fra afsnittet ‘PIMS-styring’, politikklausul 6.1.1.
Hvis test identificerer et hul i databeskyttelsen, er det ikke blot en revisionsnote. Det er et input til ledelsessystemet, som bør påvirke risikobehandling, prioriteringer, ressourcer og ledelsesbeslutninger.
Designeffektivitet versus operationel effektivitet
Når en kunde spørger, om databeskyttelseskontroller testes, mener de typisk operationel effektivitet. Revisorer vil dog også undersøge designeffektivitet.
En kontrol med effektivt design er egnet til at opfylde kravet, hvis den udføres som tilsigtet. En kontrol med operationel effektivitet udføres faktisk konsekvent og understøttes af bevismateriale.
| Kontrolområde | Test af designeffektivitet | Test af operationel effektivitet |
|---|---|---|
| Indhentning af samtykke | Verificer politik, samtykketekst, regler for behandlingsgrundlag, UI-krav og arbejdsgang for tilbagetrækning af samtykke | Udtag stikprøver af samtykkeregistreringer og tilbagetrækninger, sammenlign tidsstempler, verificer fravalg efter tilbagetrækning |
| Formålsbegrænsning | Gennemgå RoPA, privatlivsmeddelelse, produktkrav, adskillelse af samtykker og regler for databrug | Udtag stikprøver af brugerregistreringer, logfiler, eksporter og analyseflows for at bekræfte, at PII ikke genbruges til uautoriserede formål |
| Adgang til PII | Gennemgå adgangspolitik, rollemodel, procedure for tiltrædelser, omplaceringer og fratrædelser samt godkendelsesarbejdsgang | Udtag stikprøver af brugere med adgang til PII, verificer godkendelse, forretningsbehov, MFA og seneste adgangsgennemgang |
| Onboarding af databehandler | Gennemgå due diligence-kriterier, databehandleraftaleklausuler, regler for underdatabehandlere og fornødne garantier ved overførsel | Udtag stikprøve af en databehandler, inspicer vurdering, kontrakt, sikkerhedsgennemgang og bevismateriale for løbende overvågning af underdatabehandlere |
| Opbevaring og sletning | Gennemgå opbevaringsplan, undtagelsesregler, sletningsprocedure og systemkapacitet | Udtag stikprøver af slettede registreringer eller sletningsanmodninger, inspicer logfiler, sager og bekræftelser fra databehandlere |
| Håndtering af brud | Gennemgå hændelsesklassificering, eskalering vedrørende databeskyttelse og kriterier for underretning af myndigheder | Udtag stikprøver af hændelsesregistreringer, verificer triage, beslutningsgrundlag, underretninger og læringspunkter |
Politik for revision og overvågning af efterlevelse angiver formålet direkte:
Validere effektiviteten af sikkerheds- og databeskyttelseskontroller
Fra afsnittet ‘Formål’, politikklausul 1.1.1.
SMV-versionen fastholder samme assurance-princip i operationelt sprog. Politik for revision og overvågning af efterlevelse - SMV siger:
Denne politik fastlægger organisationens tilgang til gennemførelse af interne revisioner, gennemgange af sikkerhedskontroller og overvågning af efterlevelse. Den sikrer, at alle kontroller, politikker, systemer og tjenesteudbydere er omfattet af regelmæssig og struktureret gennemgang.
Fra afsnittet ‘Formål’, politikklausul 1.1.
ISO 27701-parathed handler ikke om virksomhedsstørrelse. En SaaS-databehandler med 30 medarbejdere har måske ikke behov for samme revisionsværktøjer som en global bank, men den skal stadig kunne dokumentere, at adgang, sletning, hændelseseskalering, styring af underdatabehandlere og opbevaring af bevismateriale er kontrolleret.
Clarysecs beviskæde: REG03, REG12, CAPA og gennemgang
Clarysec strukturerer test af databeskyttelseskontroller omkring en enkel beviskæde.
REG03 definerer anvendelige PIMS-kontroller og implementeringsstatus. REG12 registrerer stikprøver, bevismateriale, konstateringer, mangler i sporbarhed, verifikation af korrigerende handlinger og input til ledelsens gennemgang. CAPA-registreringer omsætter konstateringer til forbedringer baseret på rodårsager. Øverste ledelse gennemgår PIMS-performance, risici, afvigelser, korrigerende handlinger og forbedringsbeslutninger.
Politik for dokumenteret information og bevismateriale i PIMS kræver, at kvalitetsproblemer ved bevismateriale registreres:
[Alle] Den ansvarlige for intern revision / compliance-gennemgang SKAL registrere mangler i bevismaterialets fuldstændighed, nøjagtighed eller sporbarhed i REG12 under hver planlagt revision eller efterlevelsesgennemgang.
Fra afsnittet ‘Oprettelse, navngivning og kvalitet af bevismateriale’, politikklausul 4.3.4.
Dette er vigtigt, fordi ikke alle konstateringer er et totalt kontrolsvigt. Nogle gange har kontrollen fungeret, men bevismaterialet er ufuldstændigt. Nogle gange er en sletningssag lukket, men ingen systemlog dokumenterer sletningen. Nogle gange nævner fortegnelsen over behandlingsaktiviteter CRM-systemet, men mangler eksporten til data warehouse. Nogle gange findes leverandørkontrakten, men den løbende overvågning mangler.
Politik for revision og overvågning af efterlevelse kræver også strukturerede interne revisioner:
Interne revisioner skal følge en dokumenteret procedure, der omfatter:
Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.1.1.
Og når der opstår konstateringer:
Alle konstateringer skal resultere i en dokumenteret CAPA, der omfatter:
Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.2.1.
Politik for risikostyring - SMV styrker disciplinen for afslutning:
Gennemførelse og effektivitet af behandlingshandlinger skal verificeres.
Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.3.2.
Politik for PIMS-overvågning, revision og forbedring lukker sløjfen:
[Alle] Den ansvarlige for intern revision / compliance-gennemgang SKAL verificere effektiviteten af korrigerende handlinger i REG12 inden for 30 dage efter rapporteret lukning af den korrigerende handling.
Fra afsnittet ‘Afvigelse og korrigerende handling’, politikklausul 4.4.7.
Dette er forskellen på at lukke en sag og forbedre et ledelsessystem.
Praktisk test 1: sletningsanmodninger og GDPR-ansvarlighed
Sletningsanmodninger er en af de klareste måder at teste, om ansvarlighed for databeskyttelse fungerer i praksis.
Antag, at en mellemstor SaaS-virksomhed agerer som både dataansvarlig og databehandler. Den kontrollerer medarbejder-, marketing- og faktureringsdata. Den behandler slutbrugerdata fra kunder på vegne af erhvervskunder. Organisationen vil teste, om sletningskontrollerne er klar til ISO 27701:2025-revision og GDPR-assurance over for kunder.
Trin 1: Vælg behandlingsaktiviteten fra REG03
Vælg en behandlingsaktivitet med reel databeskyttelsesrisiko, f.eks. “kundens slutbrugerprofildata behandlet i SaaS-platformen”. Bekræft, om organisationen agerer som dataansvarlig, databehandler eller begge dele. Identificer tilknyttede kontroller for rettighedshåndtering, validering af databehandlerinstrukser, opbevaring, sletning, adgangsstyring, logning, håndtering af sikkerhedskopier og leverandørkoordinering.
Trin 2: Definér et præcist testmål
Et nyttigt testmål er specifikt og styret af bevismateriale:
“Verificer, at sletningsanmodninger vedrørende kundens slutbrugerprofildata modtages, autentificeres eller valideres mod instruks, udføres inden for den definerede arbejdsgang, logges, teknisk gennemføres i produktionssystemer, videreføres til relevante underdatabehandlere, hvor det kræves, og lukkes med bevismateriale.”
Trin 3: Udtag en repræsentativ stikprøve
Vælg fem sletningsanmodninger fra det seneste kvartal. Medtag én rutineanmodning, én anmodning, der involverer en kundeadministrator, én anmodning baseret på databehandlerinstruks, én anmodning med en opbevaringsundtagelse og én anmodning, der berører håndtering af sikkerhedskopier.
Zenith Blueprint fremhæver i fasen Audit, Review & Improvement, trin 26: Audit Execution, betydningen af stikprøver og indsamling af bevismateriale:
✓ Interview relevant personale: Bed de personer, der er ansvarlige for processer, forklare, hvordan de opfylder kravene. Spørg f.eks. risikoejeren om den seneste risikovurdering, eller spørg HR, hvordan nyansatte trænes i sikkerhed (for at dække kontrol 6.3 om awareness).
✓ Gennemgå dokumentation: Kontroller, at dokumenter og registreringer findes og er aktuelle.
✓ Observer praksis: Hvis det er muligt, foretag en direkte observation.
✓ Udtag stikprøver og foretag stikprøvekontrol: Du kan ikke kontrollere alt, så brug stikprøver.
Fra fasen Audit, Review & Improvement, trin 26: Audit Execution (Conducting an Internal Audit).
Trin 4: Inspicer bevismateriale for hver stikprøve
For hver udtaget anmodning indsamles intake-sagen, rolleklassificering, identitetsverifikation eller kundegodkendelse, systemets sletningslog, beslutning om opbevaringsundtagelse, forklaring af håndtering af sikkerhedskopier, underretning til underdatabehandler, afsluttende kommunikation, tidsstempler og gennemgangsgodkendelse.
Trin 5: Registrer resultaterne i REG12
Registrer stikprøven, beviskilde, kontrolresultat, undtagelse og mangel i sporbarhed i REG12. Hvis sletningen fandt sted, men der ikke findes nogen produktionslog, kan kontrollen have fungeret, men bevismaterialet er svagt. Hvis anmodningen blev forsinket, fordi leverandøransvaret var uklart, kan konstateringen vedrøre tredjepartsstyring og kontraktlig videreførelse.
Trin 6: Opret CAPA og verificer effektivitet
Hvis rodårsagen er uklart ejerskab mellem support, juridisk afdeling og engineering, kan CAPA’en omfatte en revideret arbejdsgang, opdateret RACI, obligatoriske felter for bevismateriale og månedlige stikprøvekontroller af sletninger.
Zenith Blueprint forklarer i fasen Audit, Review & Improvement, trin 29, forventningen til afslutning:
Planlæg, hvordan du vil verificere effektiviteten af hver korrigerende handling. Det kan betyde planlægning af en opfølgende revision eller kontrol. Hvis den korrigerende handling f.eks. var at træne IT-medarbejdere i adgangsstyring, kan du planlægge at gennemgå nye konti om én måned for at se, om alle har de rette godkendelser (verifikation).
Fra fasen Audit, Review & Improvement, trin 29: Continual Improvement (Corrective Actions & Lessons Learned).
For sletning kan verifikation betyde, at de næste fem sletningsanmodninger efter idriftsættelse af den reviderede arbejdsgang udtages som stikprøve. Først derefter bør CAPA’en lukkes.
Praktisk test 2: formålsbegrænsning og dataminimering
En anden test med høj værdi er formålsbegrænsning. Den er især relevant før kunders due diligence, lancering af analysefunktioner, AI-berigelse, udvidelse af data warehouse eller ændringer i marketingautomatisering.
Marias SaaS-platform indsamler kundebrugerdata til levering af tjenesten. Kontrolmålet er at sikre, at PII kun anvendes til specificerede og legitime formål og ikke genbruges til marketinganalyse, medmindre brugeren har givet udtrykkeligt og særskilt samtykke, hvor det kræves.
| Type bevismateriale | Specifikke artefakter |
|---|---|
| Dokumentation | Databeskyttelses- og privatlivspolitik, RoPA, kundens databehandleraftale, privatlivsmeddelelser, samtykkestyringsregistreringer |
| Teknisk konfiguration | Regler for datahåndtering i applikationen, databaseskemaer, API-konfigurationer, indstillinger for ETL-jobs |
| Logfiler og registreringer | Applikationsadgangslogfiler, databaseforespørgselslogfiler, ændringshistorik for samtykke, registreringer af kampagneeksport |
| Personalebevismateriale | Interview med produktejer, ledende udvikler, databaseadministrator og databeskyttelsesansvarlig |
En stærk operationel test stopper ikke ved politikken. Den udtager stikprøver af brugere, der har tilvalgt marketing, og brugere, der ikke har. Den sporer, om samtykkestatus afspejles korrekt på tværs af centrale applikationsdatabaser, data warehouse-tabeller, kampagneværktøjer, dashboards og eksporter. Hvis brugere uden samtykke indgår i en marketingmålgruppe, har organisationen en konkret afvigelse.
SMV-versionen af Politik for revision og overvågning af efterlevelse giver det rette udgangspunkt gennem et eksempel på teknisk test:
Teknisk kontrolverifikation (f.eks. backupstatus, konfiguration af adgangsstyring, patchregistreringer)
Fra afsnittet ‘Krav til implementering af politikken’, politikklausul 6.1.1.2.
For databeskyttelse omfatter teknisk kontrolverifikation kontrol af samtykkesynkronisering, eksport af adgangsrettigheder, sletningslogfiler, krypteringsindstillinger, test af datamaskering, DLP-alarmer, begrænsninger for sikkerhedskopier, overvågningshændelser og leverandørdokumentation.
Kortlægning af test af databeskyttelse til ISO/IEC 27001:2022 og Clarysecs tværgående compliance
Databeskyttelseskontroller fungerer ikke isoleret. Beskyttelse af PII afhænger af aktivfortegnelse, klassificering, adgangsstyring, cloudstyring, datamaskering, informationsoverførsel, logning, overvågning, sletning, beskyttelse af registreringer, leverandørtilsyn og uafhængig gennemgang.
I Zenith Controls: The Cross-Compliance Guide kortlægges ISO/IEC 27001:2022 Annex A-kontrol 5.34, Privacy and protection of PII, som en forebyggende kontrol, der er tilpasset fortrolighed, integritet og tilgængelighed, med cybersikkerhedskoncepterne Identify og Protect samt operationelle kapaciteter inden for Information Protection plus Legal and Compliance.
Forholdet til fortegnelsen er direkte:
En fortegnelse over informationsaktiver (5.9) bør omfatte PII-databeholdninger (kundedatabaser, HR-filer). Dette understøtter 5.34 ved at sikre, at organisationen ved, hvilken PII den har og hvor, hvilket er første skridt mod at beskytte den.
Fra Zenith Controls, Privacy and Protection of PII, kontrol 5.34.
Ved revisionstest betyder det, at databeskyttelsesrevisoren ikke bør begynde med privatlivsmeddelelsen alene. Revisoren bør begynde med PII-fortegnelsen, fortegnelsen over behandlingsaktiviteter, dataflows, aktivfortegnelsen og leverandørfortegnelsen. Hvis fortegnelsen er ufuldstændig, kan de efterfølgende databeskyttelseskontroller ikke være fuldt pålidelige.
Vejledningen kortlægger også ISO/IEC 27001:2022 Annex A-kontrol 5.34 til relaterede kontroller såsom 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.14 Information transfer, 5.15 Access control, 5.16 Identity management, 5.23 Information security for use of cloud services, 5.33 Protection of records, 8.11 Data masking, 8.12 Data leakage prevention og 8.10 Information deletion.
To yderligere ISO/IEC 27001:2022 Annex A-kontroller er særligt relevante:
| ISO/IEC 27001:2022-kontrol | Relevans for test af databeskyttelse | Eksempel på bevismateriale |
|---|---|---|
| 5.34 Privacy and protection of PII | Bekræfter, at krav til databeskyttelse og beskyttelse af PII er implementeret på grundlag af love, regler og kontrakter | Fortegnelse over behandlingsaktiviteter, DPIA’er, registreringer af behandlingsgrundlag, DSR-bevismateriale, opbevaringslogfiler |
| 5.35 Independent review of information security | Giver objektiv validering af, at sikkerhedsforanstaltninger, herunder kontroller med relevans for databeskyttelse, gennemgås uafhængigt | Interne revisionsrapporter, resultater fra eksterne gennemgange, REG12-stikprøver, CAPA-registreringer |
| 5.36 Compliance with policies, rules and standards for information security | Bekræfter løbende overholdelse af interne regler og standarder | Gennemgange af politikefterlevelse, adgangskontroller, overvågningsresultater, undtagelseslogfiler |
Databeskyttelses- og privatlivspolitik kræver:
En intern efterlevelsesrevision vedrørende databeskyttelse skal gennemføres årligt eller ved større organisatoriske eller regulatoriske ændringer. Revisionens omfang skal omfatte:
Fra afsnittet ‘Styringskrav’, politikklausul 5.4.
Den omfatter endvidere:
Effektiviteten af tekniske og organisatoriske foranstaltninger
Fra afsnittet ‘Styringskrav’, politikklausul 5.4.1.
Databeskyttelses- og privatlivspolitik - SMV fastholder den samme forventning i praktisk form:
Regelmæssige databeskyttelsesrevisioner eller kontrolgennemgange skal udføres og logges
Fra afsnittet ‘Styringskrav’, politikklausul 5.3.3.
Hvorfor GDPR-ansvarlighed nu er et spørgsmål om cybersikkerhedsstyring
Bevismateriale for databeskyttelse efterspørges ikke længere kun af databeskyttelsesrevisorer. Den samme dokumentation kan blive efterspurgt af en ISO 27701:2025-revisor, en ISO/IEC 27001:2022-revisor, en GDPR-gennemgangsansvarlig, en kompetent NIS2-myndighed, en DORA-reguleret kunde, en NIST CSF-vurderingspart eller et risikoudvalg i bestyrelsen.
NIS2 Article 21 kræver, at væsentlige og vigtige enheder implementerer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici. Article 21(2)(f) omfatter udtrykkeligt politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici. NIS2 gør også ledelsesorganer ansvarlige for at godkende og føre tilsyn med foranstaltninger til styring af cybersikkerhedsrisici.
DORA finder anvendelse fra 17 January 2025 for finansielle enheder og fastlægger et detaljeret regelsæt for digital operationel robusthed. Den kræver styring af IKT-risiko, ledelsesorganets tilsyn, intern revision, afhjælpning af kritiske konstateringer, hændelsesklassificering og rapportering, robusthedstest, styring af IKT-risici hos tredjeparter, kontraktlige kontroller, registre over IKT-serviceaftaler og exitstrategier. IKT-udbydere, der leverer til finansielle enheder, bør forvente DORA-drevne anmodninger om bevismateriale gennem assurance over for kunder.
NIST CSF 2.0 giver et nyttigt oversættelseslag. GOVERN-funktionen forventer, at organisationer forstår interessenters forventninger, afhængigheder og retlige, regulatoriske, kontraktlige, databeskyttelsesrelaterede og borgerrettighedsrelaterede forpligtelser. Tilgangen med Profiles hjælper med at sammenligne aktuelle resultater med målresultater, identificere huller og prioritere handlingsplaner.
| Kravpres | Hvad test af databeskyttelseskontroller bør frembringe | Clarysec-forankring |
|---|---|---|
| GDPR-ansvarlighed | Bevismateriale for, at principper, behandlingsgrundlag, rettigheder, sikkerhed, opbevaring og databehandlerforpligtelser dokumenterbart opfyldes | PIMS-politikker, REG03, REG12, CAPA |
| ISO 27701:2025-parathed | Testede PIMS-kontroller, rollebaseret anvendelighed, kvalitet af bevismateriale, intern revision, ledelsens gennemgang | Politik for PIMS-overvågning, revision og forbedring |
| ISO/IEC 27001:2022-assurance | Sporbarhed i risikobehandling, SoA-begrundelse, operationel styring, revision, gennemgang, forbedring | Zenith Blueprint, Zenith Controls cross-compliance guide |
| NIS2-styring | Effektivitetsvurdering, hændelsesberedskab, leverandørkontroller, ledelsestilsyn | Kortlægning til ISO/IEC 27001:2022 Annex A-kontrollerne 5.35 og 5.36 |
| DORA-assurance | Test af IKT-kontroller, robusthedstest, tredjepartsdokumentation, registreringer for hændelseslivscyklus | Tværkortlagt model for revisionsbevismateriale |
| NIST CSF 2.0 | Aktuel profil, målprofil, gapanalyse, prioriteret forbedring | Zenith Blueprint trin 24, 26, 29 |
Zenith Blueprint styrker sporbarheden i trin 24:
Din SoA bør være konsistent med dit risikoregister og din risikobehandlingsplan. Dobbelttjek, at hver kontrol, du har valgt som risikobehandling, er markeret som “Applicable” i SoA’en. Omvendt bør du, hvis en kontrol er markeret som “Applicable” i SoA’en, have en begrundelse for den – typisk en kortlagt risiko, et juridisk/regulatorisk krav eller et forretningsbehov.
Fra fasen Audit, Review & Improvement, trin 24: Audit, Review & Improvement.
For test af databeskyttelseskontroller gælder det samme princip for PIMS-anvendelighed. Hver anvendelig databeskyttelseskontrol bør kunne spores til en behandlingsrisiko, retlig forpligtelse, kundekrav eller et forretningsbehov. Hver test bør kunne spores tilbage til den pågældende kontrol.
Hvordan forskellige revisorer vil vurdere den samme kontrol
Et stærkt testprogram for databeskyttelse tager højde for revisors perspektiv. Den samme sletningskontrol, adgangsstyringskontrol eller onboardingkontrol for databehandlere vil blive fortolket forskelligt afhængigt af gennemgangskonteksten.
| Revisors perspektiv | Sandsynligt revisionsspørgsmål | Forventet bevismateriale |
|---|---|---|
| ISO 27701:2025-revisor | Er rollebaserede PIMS-kontroller implementeret, evalueret og forbedret? | REG03-anvendelighed, REG12-stikprøver, fortegnelse over behandlingsaktiviteter, politikkortlægning, revisionsresultater |
| ISO/IEC 27001:2022-revisor | Er den databeskyttelsesrelaterede kontrol integreret i risikobehandling, SoA, operationel styring, intern revision og ledelsens gennemgang? | Risikoregister, SoA-begrundelse, behandlingsplan, bevismateriale for kontroller, referater fra ledelsens gennemgang |
| GDPR-gennemgangsansvarlig | Kan den dataansvarlige dokumentere overholdelse af GDPR-principper og -forpligtelser? | Behandlingsgrundlag, meddelelser, DSR-logfiler, DPIA’er, kontrakter, brudregistreringer, opbevaringsdokumentation |
| NIST CSF-vurderingspart | Kender organisationen sine forpligtelser, definerer målresultater, måler huller og forbedrer? | Aktuel profil og målprofil, gapplan, risikoprioritering, styringsregistreringer |
| DORA-orienteret kunde eller tilsynsmyndighed | Testes IKT-kontroller, klassificeres hændelser, overvåges leverandører, og er kritiske tjenester robuste? | Testprogram, hændelsesregistreringer, leverandørregister, kontrakter, exitplaner |
| ISACA- eller COBIT 2019-lignende revisor | Er mål, ejerskab, metrikker, lukning af sager og styringstilsyn effektive? | RACI, KPI’er, sagslogfiler, CAPA-verifikation, ledelsesrapportering |
Derfor er REG12 så værdifuld. Den omsætter efterlevelse af databeskyttelse til reviderbart styringsbevismateriale.
Almindelige konstateringer ved test af PIMS-kontroller
Clarysec ser gentagne gange de samme revisionskonstateringer vedrørende databeskyttelse hos organisationer, der forbereder sig på ISO 27701:2025-certificering, GDPR-assurance over for kunder eller due diligence hos store erhvervskunder.
Fortegnelsen over behandlingsaktiviteter matcher ikke systemvirkeligheden
Fortegnelsen over behandlingsaktiviteter nævner CRM- og supportplatforme, men udviklere har tilføjet analyseeksporter, observability-logfiler, AI-værktøjer og data warehouse-tabeller.
Testrespons: Udtag stikprøver af systemer fra aktivfortegnelsen og cloudfortegnelsen, og afstem dem derefter med fortegnelsen over behandlingsaktiviteter. Brug forholdet mellem ISO/IEC 27001:2022 Annex A-kontrollerne 5.9 og 5.34 som revisionsbegrundelse.
PII-adgang er godkendt, men gennemgås ikke periodisk
Indledende godkendelser findes, men gennemgang af privilegeret adgang omfatter ikke værktøjer til support-impersonering, produktionsdatabaser, BI-dashboards eller nødkonti.
Testrespons: Udtag stikprøver af aktive brugere med adgang til PII, og sammenlign rolle, forretningsbehov, godkendelse, MFA-status, seneste login og bevismateriale for gennemgang.
Databehandlerkontrakter findes, men overvågningen er svag
Databehandleraftalen er underskrevet, men leverandørspørgeskemaet er gammelt. Ingen har gennemgået ændringer i underdatabehandlere, datalokationer, sikkerhedstilstand eller forpligtelser til hændelsesunderretning.
Testrespons: Udtag stikprøver af kritiske databehandlere, og inspicer due diligence, kontraktlige klausuler, ændringer i underdatabehandlere, fornødne garantier ved overførsel og overvågningsregistreringer. Dette understøtter GDPR, NIS2-forventninger til forsyningskæden og DORA-forventninger til tredjepartsrisiko.
Hændelseshåndtering findes, men databeskyttelsesklassificering er inkonsistent
Sikkerhedshændelser logges, men påvirkning af databeskyttelse vurderes ikke altid. GDPR-kriterier for brud dokumenteres ikke konsekvent. Kunders underretningsforpligtelser håndteres uformelt.
Testrespons: Udtag stikprøver af hændelser, der involverer dataeksponering, og inspicer klassificering, databeskyttelseseskalering, juridisk gennemgang, underretningsbeslutninger, sikring af bevismateriale, rodårsag og læringspunkter.
CAPA lukkes uden verifikation af effektivitet
En procedure opdateres, og konstateringen lukkes. Ingen tester, om den næste stikprøve blev forbedret.
Testrespons: Verificer effektiviteten af korrigerende handlinger i REG12 inden for 30 dage efter rapporteret lukning, som krævet af Politik for PIMS-overvågning, revision og forbedring.
Et 90-dages sprint for test af databeskyttelseskontroller
For organisationer, der bevæger sig mod ISO 27701:2025-parathed, kunders due diligence eller gennemgang af GDPR-ansvarlighed, anbefaler Clarysec et fokuseret 90-dages sprint.
| Tidslinje | Fokus | Leverancer |
|---|---|---|
| Dag 1 til 15 | Omfang og bevismodel | PIMS-roller, fortegnelse over behandlingsaktiviteter, REG03-anvendelighed, prioriterede risici, retlige forpligtelser, leverandørafhængigheder, regler for navngivning af bevismateriale |
| Dag 16 til 35 | Designtest | Gennemgang af politikker, RACI, privatlivsmeddelelser, behandlingsgrundlag, DPIA-udløsere, DSR-arbejdsgange, hændelsesklassificering, opbevaringsplaner, leverandørkontroller |
| Dag 36 til 65 | Operationel test | Stikprøver for adgang, sletning, hændelser, databehandlere, overførsler, opbevaring, træning, teknisk overvågning, REG12-bevismateriale |
| Dag 66 til 80 | CAPA og risikobehandling | Rodårsag, korrigerende handling, ejer, forfaldsdato, restrisiko, verifikationsmetode |
| Dag 81 til 90 | Parathed til ledelsens gennemgang | PIMS-performancepakke, mål, åbne risici, afvigelser, korrigerende handlinger, leverandørforhold, forbedringsbeslutninger |
Ved sprintets afslutning bør organisationen kunne besvare de spørgsmål, revisorer faktisk stiller:
- Hvilken PII behandler I?
- I hvilken rolle?
- Hvilke kontroller gælder?
- Hvorfor er de anvendelige?
- Hvilket bevismateriale dokumenterer, at de er implementeret?
- Hvilken stikprøve dokumenterer, at de fungerer?
- Hvilke huller blev identificeret?
- Hvilke korrigerende handlinger blev gennemført?
- Hvem verificerede effektiviteten?
- Hvad gennemgik og besluttede øverste ledelse?
Fra papirdatabeskyttelse til dokumenterbar ansvarlighed
Et ISO 27701-certifikat er værdifuldt, men det er ikke slutmålet. Kunder, tilsynsmyndigheder, bestyrelser og revisorer forventer i stigende grad dokumentation for, at databeskyttelseskontroller er designet, implementeret, overvåget, korrigeret og underlagt styring.
Efterlevelse af databeskyttelse fejler, når den behandles som et dokumentationsprojekt. Den tåler kontrol, når den bliver et testet system for bevismateriale.
Clarysec hjælper organisationer med at bevæge sig fra påstået efterlevelse til dokumenterbar ansvarlighed ved at forbinde PIMS-politikker, REG03-anvendelighed, REG12-stikprøver af bevismateriale, CAPA-verifikation, ledelsens gennemgang og kortlægning på tværs af rammeværker gennem Zenith Blueprint: An Auditor’s 30-Step Roadmap og Zenith Controls: The Cross-Compliance Guide.
Hvis din organisation forbereder sig på ISO 27701:2025-certificering, gennemgang af GDPR-ansvarlighed, assurance vedrørende databeskyttelse over for kunder, NIS2-styringsdokumentation eller DORA-drevet due diligence af leverandører, bør I starte med en fokuseret workshop om test af databeskyttelseskontroller.
Clarysec kan hjælpe jer med at kortlægge REG03-anvendelighed, opbygge REG12-revisionsstikprøver, teste prioriterede PIMS-kontroller, koble konstateringer til CAPA og forberede output til ledelsens gennemgang, der kan tåle kontrol.
Jeres næste databeskyttelsesrevision bør ikke være en jagt på skærmbilleder. Den bør være en sikker demonstration af, at databeskyttelse fungerer, er dokumenteret med bevismateriale, gennemgås og forbedres løbende.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council