25 sep 2017

Fælles rapportering ift. efterlevelse af ny databeskyttelseslov

Databeskyttelseslov: Der er nu kommet en fælles standard for rapportering ift. efterlevelse af den kommende databeskyttelseslov. Cybersikkerhedsudvalget under FSR – danske revisorer har udarbejdet skabelon til en ny erklæring, der er beregnet til databehandlere. Erklæringen har fået titlen ”Uafhængig revisors ISAE 3000-erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger”.

Omfang og formål med rapportering ift. den nye databeskyttelseslov

Formålet med erklæringen er at give databehandlerens kunder sikkerhed for, at de relevante procedurer og kontroller ift. persondataforordningen (GDPR), og andre danske lovkrav i øvrigt, er tilstrækkeligt beskrevet. Dermed kan dataansvarlige opnå sikkerhed for, at den databehandler, som dataansvarlig har outsourcet opgaverne til, har procedurer for efterlevelse af reglerne om beskyttelse af personoplysninger.

Den nye erklæringsstandard dækker som udgangspunkt bredt i forhold til kravene i den kommende databeskyttelseslov, og det er hensigten, at den tilpasses til databehandlerens konkrete, relevante standardprocedurer, og dermed vil det sjældent give anledning til, at en databehandler skal revideres efter hele skabelonen. Udover skabelonen til erklæringen, så har FSR også udgivet en vejledning og et inspirationskatalog.

Denne erklæring kommer dermed til at fungere som forlængelse af de ISAE 3000-erklæringer, der allerede afgives i dag i forhold til efterlevelse af den eksisterende persondatalov med tilhørende sikkerhedsbekendtgørelse. Der vil eventuelt ske tilpasninger til skabelonen, når lovkravene med de nationale bestemmelser vedtages endeligt.