ISAE 3000 DK REVISORERKLÆRING

En revisorerklæring om overholdelse af persondataloven, en ISAE 3000 DK, er resultatet af en gennemgang for at vurdere, om jeres virksomhed overholder persondataloven.

Baggrunden for at få lavet en ISAE 3000 DK ift. persondataloven kan være et krav fra en eller flere kunder; alternativt at virksomheden selv vælger at få den udarbejdet for at signalere troværdighed og sikkerhed overfor interessenter og potentielle kunder.

Processen ved ISAE 3000 DK erklæring

Rent konkret reviderer vi op mod bestemmelserne i persondataloven og tilhørende sikkerhedsbekendtgørelse nr. 528 af 2000. I løbet af revisionsprocessen foretager vi interviews med relevante medarbejdere, og vi gennemgår udleveret dokumentation for de forskellige områder.

Men det handler ikke kun om afgivelse af revisorerklæringen. Dialogen i løbet af erklæringsprocessen er også værdiskabende, da den fungerer som faglig sparring i forhold til, hvordan I kan forholde jer som virksomhed til de forskellige elementer af persondataloven.

Resultatet af erklæringsarbejdet er derfor også, at I som virksomhed ved, hvor I lever op til persondataloven, og også bliver bevidste om, hvilke områder der eventuelt skal arbejdes videre med.

Revisionen i forbindelse med udarbejdelsen af ISAE 3000-erklæringen vurderer eksempelvis følgende områder:

  • Logges al anvendelse af personoplysninger?
  • Kan uvedkommende personer tilgå personoplysninger?
  • Har medarbejderne modtaget den fornødne instruktion omkring håndtering og behandling af persondata?
  • Er der fastsat instrukser, som fastlægger ansvaret for ind- og uddatamateriale?
  • Når der udføres service, reparation eller kassation af medier, der indeholder persondata, foregår det så på betryggende vis?

Forud for erklæringsarbejdet kan det være fordelagtigt med en modning hen mod overholdelse af persondataloven.

Vi assisterer derfor også med rådgivning i forhold til dette. Udover at være certificerede it-revisorer, så har vi også en baggrund indenfor it-branchen. Vi har derfor også kendskab til de tekniske og praktiske aspekter af it-systemer og -drift.

Persondataloven – kort fortalt

Alle virksomheder er omfattet af persondataloven (Lov om behandling af personoplysninger), som gælder for enhver form for håndtering af oplysninger om personer – også medarbejdere. Som de vigtigste former for behandling kan nævnes: Indsamling, registrering, dataklassificering, opbevaring, brug, videregivelse, samkøring og sletning. Bemærk, at selv det at opbevare persondata tæller som databehandling af persondata.

Loven foreskriver hvornår og hvordan personoplysninger kan behandles, og vedrører dermed databeskyttelse og korrekt håndtering af persondata.

Ved behandling af data om medarbejdere i forbindelse med løn og HR skal I derfor altid leve op til kravene i persondataloven, og i mange tilfælde skal virksomheder foretage anmeldelse til Datatilsynet omkring virksomhedens registrering og anvendelse af data.

Visse af lovens regler gælder endvidere også for, hvordan I må behandle personoplysninger modtaget fra virksomheder, foreninger og lignende. Dette er navnlig relevant i relation til reglerne om kreditoplysningsbureauer, sundhedsudbydere, it-hosting-virksomheder, stillingsbesættende virksomheder m.fl.

Ændringer på vej til persondataloven

Der er blevet vedtaget en EU-forordning om persondata og databeskyttelse, som skal være implementeret på nationalt plan 25. maj 2018. Det betyder, at der kommer ændringer og skærpelser til den danske persondatalovgivning.

De mest omtalte ændringer er skærpede sanktioner, krav om Data Protection Officer (databeskyttelsesrådgiver), retten til at blive glemt, og indberetningspligt. Selvom ændringerne først træder i kraft i 2018, anbefaler vi, at man allerede nu begynder at forberede sig.