Oppdatert versjon av ISO/IEC 27701-standarden lansert

Den oppdaterte ISO/IEC 27701-standarden blir en frittstående standard som skal hjelpe bedrifter med å forbedre håndteringen av personverninformasjon.

Ventetiden på den nye versjonen av standarden ISO/IEC 27701 for styringssystemer for personverninformasjon er over. Den internasjonale standardiseringsorganisasjonen (ISO) og den internasjonale elektrotekniske kommisjonen (IEC) kunngjorde 14. oktober 2025 at den nye versjonen er godkjent og utgitt.

Den viktigste endringen i denne utgaven er at ISO/IEC 27701 nå blir en frittstående standard som tar sikte på å styrke styringssystemene for personverninformasjon (PIMS) ytterligere for organisasjoner over hele verden. Dette betyr at organisasjoner kan ha sitt PIMS uavhengig som en frittstående sertifiserbar ledelsessystemstandard som fokuserer spesifikt på personvernrisikoer og -kontroller i stedet for en utvidelse av et allerede etablert ISMS, noe som øker tilgjengeligheten for et bredere sett av organisasjoner.

Det bør bemerkes at kravene og implementeringsveiledningen for den nye utgaven består av eksisterende elementer fra de tidligere standardene ISO/IEC 27701:2019, ISO/IEC 27001:2022 og ISO/IEC 27002:2022.  Den nye standarden er strukturert slik at den kan integreres med andre eksisterende styringssystemer, for eksempel ISO 9001 (kvalitet), ISO/IEC 27001 (informasjonssikkerhet) og ISO/IEC 42001 (kunstig intelligens), noe som gjør den tilpasningsdyktig og fleksibel for organisasjoner av alle former, størrelser og kompleksitet.

"Organisasjoner blir stadig mer utfordret til å navigere i kompleksiteten i databeskyttelse, fra kontroll av personopplysninger til å redusere risikoen for sikkerhetsbrudd og sikre samsvar med stadig nye nasjonale og internasjonale forskrifter. Det er derfor svært gledelig at ISO/IEC 27701 nå blir en frittstående standard", sier Thomas Douglas, Global ICT Industry Manager i DNV.

De viktigste endringene

Den nye versjonen av ISO/IEC 27701 introduserer flere viktige forbedringer som er utformet for å møte utviklingen innen personvern og datasikkerhet. Disse inkluderer:

  • Nå er det et frittstående system for håndtering av personverninformasjon (PIMS) og ikke lenger avhengig av ISO/IEC 27001.
  • Utvidet veiledning for databehandlere og behandlingsansvarlige.
  • Større klarhet om håndtering av personopplysninger i AI og digitale økosystemer.
  • Sterkere fokus på å integrere personvern i bredere organisatoriske strategier for ledelse og styring, planlegging og kontinuerlig forbedring.
  • Er i tråd med globale forskrifter som GDPR, CCPA, LGPD og flere.

Selv om de offisielle reglene for sertifisering og overgang til den reviderte standarden ennå ikke er publisert, bør organisasjoner som i dag er sertifisert i henhold til 2019-versjonen, begynne å forberede seg på en velstrukturert og tidsriktig overgang. Proaktiv planlegging vil ikke bare bidra til etterlevelse, men også styrke tilliten blant interessentene. Veiledning om overgang og sertifisering forventes å bli publisert i løpet av de kommende ukene, og akkrediteringsorganene vil følgelig vedta disse retningslinjene.