Menu

Hvad er en ISAE 3000 erklæring?

I denne artikel beskrives, hvad en ISAE 3000 erklæring er, samt hvordan, at den kan bruges til at påvise GDPR compliance.

Læs hvordan en ISAE 3000 erklæring kan bruge til at påvise GDPR compliance

Introduktion

ISAE 3000 erklæringen er blevet et vigtigt værktøj for virksomheder, der vil demonstrere compliance med GDPR. Kort fortalt, så er en ISAE 3000-erklæring en ekstern revisors bekræftelse på, at en virksomheden kontroller for et compliance-område er både designet korrekt og fungerer korrekt, hvilket derfor er tillidsskabende for virksomhedens kunder og samarbejdspartnere.

Revisionserklæring

ISAE 3000 er en generel standard for, hvordan revisorer skal kontrollere et ikke-finansielt compliance-område. Erklæringen sætter en standard for, hvordan revisoren skal planlægge, udføre og rapportere deres arbejde i erklæringsopgaver for ikke-finansielle fagområder, hvilket fx kan være tilsyn af en virksomheds efterlevelse af en bæredygtighedsstandard som ESG eller efterlevelse af GDPR-reglerne.

ISAE 3000 standarden indeholder retningslinjer for revisorer omkring etik, planlægning, risikovurdering, indhentning af beviser og dokumentation, samt hvordan erklæringen skal udformes af en revisor.

En revisor kan tilrettelægge og udføre sin egen kontrol af et givent emne, så længe det sker i overensstemmelse med ISAE 3000 standardens krav, og den kan derfor også bruges til andre emner end GDPR, hvorfor den skal tilpasses det specifikke emne.

Revisionserklæringen kan udarbejdes af godkendte revisorer og kan ikke anvendes af andre, eksempelvis konsulenter; hos .legal A/S har vi fx brugt revisionsvirksomheden BDO til at føre tilsyn af vores GDPR compliance.

ISAE erklæringen kan laves som en type 1 og type 2 erklæring. 

ISAE Type 1 og 2 erklæringer

En type 1 erklæring giver sikkerhed for, at en virksomheds kontroller er hensigtsmæssigt designet og implementeret på auditeringstidspunktet. For eksempel, hvis din virksomhed har en proces til at beskytte kundedata, så kan en type 1 erklæring bekræfte, at processen er designet hensigtsmæssigt.

En type 2 erklæring viser, at ikke alene er de interne kontroller designet hensigtsmæssigt, men de fungerer også i praksis igennem tilsynsperioden, hvilket giver ekstra tillid til, at virksomheden opretholder sikkerhedsniveauet i perioden.

ISAE

Type 1 erklæring

Type 2 erklæring

Formål

Denne bekræfter, at virksomhedens interne kontroller er hensigtsmæssigt designet og implementeret på et givent tidspunkt.

Denne bekræfter, at virksomhedens interne kontroller både er hensigtsmæssigt designet og fungerer effektivt over en længere tidsperiode.

Fokus

Design og implementering af kontroller

Design, implementering og løbende drift af kontroller

Tidsperiode

Én bestemt dato

En defineret periode (f.eks. 6 eller 12 måneder)

Revisionsomfang

Undersøger om kontrollerne er på plads og passende på erklæringstidspunktet.

Tester om kontrollerne har fungeret effektivt og kontinuerligt i perioden.

Anvendelse

Kan bruges når virksomheden skal demonstrere, at kontroller er designet korrekt fra start.

Kan bruges når virksomheden skal vise, at kontrollerne fungerer effektivt over tid, hvilket dermed øger tilliden til systemets robusthed.

Bevis

Dokumentation for design og implementering

Dokumentation for design, implementering og effektiv drift af kontrollerne

Eksempel

En nyoprettet virksomhed, der ønsker at vise, at deres kontroller er passende designet for at beskytte kundedata.

En veletableret virksomhed, der ønsker at vise, at deres kontroller fortsat fungerer effektivt for at opretholde sikkerheden over tid.

Er det en GDPR erklæring?

Selvom ISAE 3000 ikke er en specifik GDPR-certificering, kan den bruges til at dokumentere GDPR compliance. Erklæringen kan vise, at en databehandler overholder GDPR-reglerne ved at have passende kontroller og sikkerhedsforanstaltninger på plads.

FSR – danske revisorer og Datatilsynet har fx samarbejdet om at udvikle skabeloner til brug for erklæring om overholdelse af databeskyttelsesforordningen. Disse skabeloner er bygget på ISAE 3000 erklæringen, og formålet med skabelonerne er at sikre, at alle relevante emner er afdækket med erklæringen, og at de derfor opfylder kravene fra både Datatilsynet og de generelle revisionskrav. Derfor ser du ofte ISAE 3000 erklæringen benyttet af danske organisationer til at demonstrere GDPR-compliance.

Hvorfor kræve en ISAE 3000 erklæring?

Dataansvarlige, som gør brug af databehandlere, skal sikre sig, at databehandlerens behandling af personoplysninger foregår i overensstemmelse med databehandleraftalen. 

Dette er krav i GDPR-reglerne. 

En ISAE 3000 erklæring angående en databehandlers GDPR compliance er et troværdigt signal til den dataansvarlige om, at databehandleren foretager en sikker behandling af personoplysninger. Derudover medfører erklæringen også mindre arbejde for den dataansvarlige, da denne ikke skal tjekke databehandlerens processer i samme grad, samt får en større sikkerhed for, at persondata bliver behandlet forsvarligt.

ISAE 3000 erklæringen gør det altså nemmere for den dataansvarlige at lave sin due diligence af databehandleren inden, at samarbejdet og overladelse af behandlingen af personoplysninger til databehandleren påbegyndes. 

En databehandler kan tilmed gøre det løbende tilsynsarbejde lettere for den dataansvarlige ved løbende at forny denne ISAE 3000 erklæring. Den dataansvarlige skal nemlig altid sikre sig, at behandlingen foretages sikkert af databehandleren. En databehandlers fornyelse af ISAE 3000 erklæringen giver derfor løbende en ressourcebesparelse til den dataansvarlige, som blot kan tjekke at erklæringen fortsat er gældende.

Det skal dog altid sikres af den dataansvarlige, at erklæringen er udarbejdet i relation til den aktuelle databehandling, som den dataansvarlige har overladt til databehandleren, og ikke en anden behandling. Du kan tjekke om erklæringen er passende til formålet, da dette skal være beskrevet i starten af erklæringen.

Kort sagt, en ISAE 3000 erklæring sparer tid og ressourcer for både databehandleren og den dataansvarlige ved at skabe tillid gennem denne eksterne kontrol.

Bør alle lave en ISAE 3000 erklæring?

Databehandlere

En databehandler kan fx være en softwareudbyder, og dennes kerneforretning indebærer behandling af personoplysninger på kundens vegne. 

Dette er et krav for mange dataansvarlige, at databehandlerne kan påvise efterlevelse af fx GDPR-reglerne via en ISAE 3000 erklæring, som på den måde bliver et konkurrencevilkår. 

Alternativet til at have en ISAE 3000 erklæring er, at alle dataansvarlige selv ville skulle føre tilsyn med, at databehandlerens behandlingspraksis er korrekt. Dette vil være besværligt for den dataansvarlige, men også for databehandleren, da det er komplekst og ressourcekrævende at håndtere kundernes forskellige tilsyn. 

Det er altså - alt andet lige - nemmest for alle parter, at databehandleren får en autoriseret tredjepart til at foretage et tilsyn.

Dataansvarlige

Det er ikke kun relevant for databehandlere at få en ISAE 3000 erklæring af virksomhedens GDPR compliance. Den dataansvarlige kan også have en interesse i at signalere til sine kunder og øvrige interessenter, at GDPR-reglerne efterleves. Det sender et stærkt signal til omverdenen om, at der arbejdes seriøst med databeskyttelse, og at lovgivningen følges til punkt og prikke.

 

Hvordan er processen?

Du kan læse hvordan, at vi fik vores ISAE 3000 erklæring lavet, i denne artikel, hvor vores GDPR koordinator deler sine erfaringer med hele processen.

 

Erklæringens indhold

En ISAE 3000 erklæring indeholder en beskrivelse, tilsynets formål og omfang af tilsynet samt en beskrivelse af de interne kontroller, som skal tjekkes af IT-revisoren, og bemærkninger hertil om resultatet af revisoren.

Herunder findes et eksempel på emner og tilhørende kontrolaktivitet, som kan kontrolleres ved en ISAE 3000 erklæring, en reference for tilknytningen til GDPR-reglerne, samt hvordan en revisor kan teste disse kontrolaktiviteter.

Emne

Kontrolaktivitet

Databeskyttelsesforordningen

Test

Styring af aktiver

Fortegnelse med behandlingsaktiviteter.

Eksempel: Databehandleren har udarbejdet en fortegnelse over behandlingsaktiviteter, som opdateres løbende - mindst én gang årligt.


Dataklassifikation.

Artikel 30, sttk. 2, 3 & 4.

Eksempler

Det er kontrolleret, at databehandleren har udarbejdet en fortegnelse over behandlingsaktiviteter som databehandler.


Det er observeret, at databehandleren har udarbejdet en fortegnelse over  behandlingsaktiviteter på vegne af kunderne.


Det er yderligere observeret, at fortegnelsen er lagret elektronisk og indeholder de nødvendige elementer ifølge databeskyttelsesforordningens artikel 30, stk. 2.


Der er informeret om, at fortegnelser i henhold til artikel 30, stk. 2 i databeskyttelsesforordningen er tilgængelige for tilsynsmyndigheden efter anmodning.

Personalesikkerhed

Før ansættelse

Eksempel: Der foretages baggrundstjek af alle jobkandidater i henhold til virksomhedens krav vedrørende den funktion, som medarbejderen skal varetage.


Under ansættelse


Fortrolighedsaftaler.


Ved ansættelsens ophør.

Artikel 28, stk. 1.


Artikel 28, stk. 3, litra b.

Eksempel:

Der er lavet forespørgsler til relevant personale hos databehandleren.


Det er kontrolleret, at databehandleren har en procedure for baggrundstjek af nye medarbejdere med adgang til personoplysninger, og det er observeret, at de skal fremvise en straffeattest.


Der er stikprøvevist kontrolleret dokumentation for, at baggrundstjek udføres i overensstemmelse med forretningskrav til den pågældende jobfunktion.

Beviser

For at leve op til de krav, som revisoren stiller, er det vigtigt at dokumentere, at man faktisk overholder kontrollen. Det kræver løbende dokumentation, som revisoren kan bruge som grundlag for at godkende kontrollen. Mangler der tilstrækkeligt bevismateriale, kan det resultere i en anmærkning i revisors erklæring.

Du kan se en færdig ISAE 3000 erklæring inklusiv alle kontrolaktiviteterne, samt finde beskrivelser af hvordan disse testes i .legal A/S’s senest udførte ISAE 3000 erklæring.

Andre certificeringer

ISAE 3000 erklæringen bruges som et middel til at demonstrere GDPR compliance over for virksomhedens interessenter, men der findes også andre måder at gøre dette på. 

En anerkendt måde at demonstrere, at en virksomhed har et passende sikkerhedsniveau, er ved at få en ISO27001 certifikation. ISO27001 er en international standard, som stiller en masse krav til virksomhedens informationsikkerhed. 

Man kan også få lavet en ISAE 3402 erklæring, som på mange måder er lig GDPR-erklæringen (ISAE 3000), men som i stedet har til formål at føre tilsyn med virksomhedens informationssikkerhed ligesom ISO27001. 

Opsummering: Fordele ved en ISAE 3000 erklæring 

Hvis din virksomhed ønsker at demonstrere over for kunder, partnere og øvrige interessenter, at I efterlever GDPR-reglerne, så er ISAE 3000 erklæringen en metode til at opnå dette. Det har følgende følgende fordele:

  • Øger tillid hos kunder og partnere.
  • Reducere behovet for tilsyn.
  • Giver en konkurrencefordel.
  • Forbedret intern kontrol og procedurer.
Helper swirl top

Informationssikkerhed

Leder du efter andre artikler om informationssikkerhed? Eller er du nysgerrig efter at lære mere om compliance-løsninger? Udforsk vores artikelserie, hvor vi går i dybden med emnet.
Left blob
Right blob
Helper swirl bottom
declarationcoverOptimeret

.legal compliance platform Håndter dine erklæringer smartere

Få fuld kontrol over dine erklæringer, alt sammen på ét sted. Prøv vores erklæringsmodul til at få overblik over dine erklæringer.
  • Få et klart overblik over dine fremskridt på tværs af flere erklæringer som f.eks. ISAE3402, ISAE3000 og ISO27001.
  • Følg opdateringer i realtid om gennemførte kontroller, så du altid ved, hvor tæt du er på at være færdig.
  • Undgå overflødigt arbejde ved at genbruge dokumentation på tværs af forskellige erklæringer, hvilket reducerer den manuelle proces.
Læs mere
Book demo
+325 virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
SMILfonden-logo
skodsborg_logo-1
nemlig.com
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

 

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl