En revisorerklæring om overholdelse af databeskyttelsesforordningen (GDPR), en ISAE 3000 GDPR, er resultatet af den gennemgang, vi foretager, for at afgøre, om jeres virksomhed lever op til databeskyttelsesforordningen.

Baggrunden for at få lavet en ISAE 3000 GDPR ift. databeskyttelsesforordningen kan være et krav fra en eller flere kunder; alternativt at virksomheden selv vælger at få den udarbejdet for at signalere troværdighed og sikkerhed overfor interessenter og potentielle kunder. Det er også derfor, at en erklæring typisk alene omhandler virksomhedens serviceleverance til sine kunder, dvs. sin databehandlerrolle

Processen ved ISAE 3000 GDPR erklæring

Rent konkret reviderer vi op mod bestemmelserne i databeskyttelsesforordningen (GDPR), men mere specifikt benytter vi FSR – danske revisorer og Datatilsynets rammer. I løbet af vores arbejde gennemgår vi virksomhedens dokumentation,  interviewer relevante medarbejdere, ser ind i det tekniske osv.

Men det handler ikke kun om afgivelse af revisorerklæringen. Dialogen i løbet af erklæringsprocessen er også værdiskabende, da den fungerer som faglig sparring i forhold til, hvordan I kan forholde jer som virksomhed til de forskellige elementer af databeskyttelsesforordningen. Her har vi mangeårig erfaring i denne proces, og vi kan både facilitere en struktureret implementeringsproces med mange timers læringsvideoer, inspirationsmaterialer mv., ligesom vi kan stille et websystem til rådighed for at dokumentere GDPR-arbejdet. Alt sammen så pragmatisk som muligt, uden der er tale om overimplementering.

Resultatet af erklæringsarbejdet er derfor også, at I som virksomhed ved, hvor I lever op til databeskyttelsesforordningen, og også bliver bevidste om, hvilke områder der eventuelt skal arbejdes videre med.

Revisionen i forbindelse med udarbejdelsen af ISAE 3000 GDPR-erklæringen vurderer eksempelvis følgende områder:

• Logges al anvendelse af personoplysninger?
• Kan uvedkommende personer tilgå personoplysninger?
• Har medarbejderne modtaget den fornødne instruktion omkring håndtering og behandling af persondata?
• Er der fastsat instrukser, som fastlægger ansvaret for ind- og uddatamateriale?
• Er der udarbejdet privatlivspolitik, procedurer i tilfælde af databrud osv?
• Hvor er data fysisk placeret?
• Når der udføres service, reparation eller kassation af medier, der indeholder persondata, foregår det så på betryggende vis?

Erklæringen tager højde for brug af jeres underleverandører (cloud etc.), og disse kan enten inkluderes (helhedsmetode) eller ekskluderes (partiel-metode).

ISAE 3000 GDPR – høj eller begrænset sikkerhed

Selve revisorerklæringen kommer i to varianter; en fuldt dækkende samt en ‘light’. FSR -danske revisorer og Datatilsynet har åbnet muligheden for, at vi som revisorer primært ‘forespørger og interviewer’, i stedet for at gå i dybden. Hvad enten man som databehandler skal vælge den ene eller anden, er reelt op til kravene blandt jeres kunder. Det er indlysende, at det er mere enkelt at “komme igennem” en ISAE 3000 GDPR ‘light’ med begrænset sikkerhed, end en ISAE 3000 GDPR med høj grad af sikkerhed.

I det hele taget, kan vi deltage i den indledende overvejelse, inden arbejdet påbegyndes, for der er som nævnt herover en del der skal overvejes ift. partiel/helhedsmetode, høj/begrænset sikkerhed, generel eller kundespecifik, hvilket system skal GDPR dokumenteres i, er der formkrav til en privatlivspolitik osv.

Databeskyttelsesforordningen – kort fortalt

Alle virksomheder er omfattet af databeskyttelseslovgivningen, baseret på EU-GDPR. Denne lovgivning erstattede 25. maj 2018 persondataloven og tilhørende sikkerhedsbekendtgørelse, og medførte ændringer som skærpede sanktioner, krav om Data Protection Officer (databeskyttelsesrådgiver), retten til at blive glemt, og indberetningspligt.

Loven gælder for enhver form for håndtering af oplysninger om personer – også medarbejdere. Som de vigtigste former for behandling kan nævnes: Indsamling, registrering, dataklassificering, opbevaring, brug, videregivelse, samkøring og sletning. Bemærk, at selv det at opbevare persondata tæller som databehandling af persondata.

Loven foreskriver hvornår og hvordan personoplysninger kan behandles, og vedrører dermed databeskyttelse og korrekt håndtering af persondata.

Ved behandling af data om medarbejdere i forbindelse med løn og HR skal I derfor altid leve op til kravene i databeskyttelsesforordningen, og i mange tilfælde skal virksomheder foretage anmeldelse til Datatilsynet omkring virksomhedens registrering og anvendelse af data.

Visse af lovens regler gælder endvidere også for, hvordan I må behandle personoplysninger modtaget fra virksomheder, foreninger og lignende. Dette er navnlig relevant i relation til reglerne om kreditoplysningsbureauer, sundhedsudbydere, it-hosting-virksomheder, stillingsbesættende virksomheder m.fl.

Næste skridt

Det er lidt særligt at skulle forberede sig hen mod en GDPR-revision. Man skal ikke blot leve op til GDPR, men man skal også kunne dokumentere det på en lidt særlig vis. Se mere om dette ude til højre, hvor vi kort beskriver vores online-løsning til klargøring til GDPR-revision, vores websystem til GDPR-dokumentation og løbende kontrol osv.

Men vigtigst: kontakt os, for vi hjælper gerne med at gøre det hele lidt mere forståeligt og så det passer præcist til jer. Brug kontaktformularen lidt længere nede på denne side.