Hvad er en ISAE 3000 erklæring?
I denne artikel beskrives, hvad en ISAE 3000 erklæring er, samt hvordan, at den kan bruges til at påvise GDPR compliance.

- Artikler
- Informationssikkerhed
- Hvad er en ISAE 3000 erklæring
Introduktion
ISAE 3000 erklæringen er blevet et vigtigt værktøj for virksomheder, der vil demonstrere compliance med GDPR. Kort fortalt, så er en ISAE 3000-erklæring en ekstern revisors bekræftelse på, at en virksomheden kontroller for et compliance-område er både designet korrekt og fungerer korrekt, hvilket derfor er tillidsskabende for virksomhedens kunder og samarbejdspartnere.
ISAE 3000 Revisionsstandarder
ISAE 3000 er en generel standard for, hvordan revisorer skal kontrollere et ikke-finansielt compliance-område. Erklæringen sætter en standard for, hvordan revisoren skal planlægge, udføre og rapportere deres arbejde i erklæringsopgaver for ikke-finansielle fagområder, hvilket fx kan være tilsyn af en virksomheds efterlevelse af en bæredygtighedsstandard som ESG eller efterlevelse af GDPR-reglerne.
ISAE 3000 standarden indeholder retningslinjer for revisorer omkring etik, planlægning, risikovurdering, indhentning af beviser og dokumentation, samt hvordan erklæringen skal udformes af en revisor.
En revisor kan tilrettelægge og udføre sin egen kontrol af et givent emne, så længe det sker i overensstemmelse med ISAE 3000 standardens krav, og den kan derfor også bruges til andre emner end GDPR, hvorfor den skal tilpasses det specifikke emne.
Revisionserklæringen kan udarbejdes af godkendte revisorer og kan ikke anvendes af andre, eksempelvis konsulenter; hos .legal A/S har vi fx brugt revisionsvirksomheden BDO til at føre tilsyn af vores GDPR compliance.
ISAE erklæringen kan laves som en type 1 og type 2 erklæring.
Læs mere om hvordan vi i .legal opnåede vores ISAE 3000 erklæring.
ISAE 3000 Type 1 og 2 erklæringer
En type 1 erklæring giver sikkerhed for, at en virksomheds kontroller er hensigtsmæssigt designet og implementeret på auditeringstidspunktet. For eksempel, hvis din virksomhed har en proces til at beskytte kundedata, så kan en type 1 erklæring bekræfte, at processen er designet hensigtsmæssigt.
En type 2 erklæring viser, at ikke alene er de interne kontroller designet hensigtsmæssigt, men de fungerer også i praksis igennem tilsynsperioden, hvilket giver ekstra tillid til, at virksomheden opretholder sikkerhedsniveauet i perioden.
ISAE 3000 |
Type 1 erklæring |
Type 2 erklæring |
Formål |
Denne bekræfter, at virksomhedens interne kontroller er hensigtsmæssigt designet og implementeret på et givent tidspunkt. |
Denne bekræfter, at virksomhedens interne kontroller både er hensigtsmæssigt designet og fungerer effektivt over en længere tidsperiode. |
Fokus |
Design og implementering af kontroller |
Design, implementering og løbende drift af kontroller |
Tidsperiode |
Én bestemt dato |
En defineret periode (f.eks. 6 eller 12 måneder) |
Revisionsomfang |
Undersøger om kontrollerne er på plads og passende på erklæringstidspunktet. |
Tester om kontrollerne har fungeret effektivt og kontinuerligt i perioden. |
Anvendelse |
Kan bruges når virksomheden skal demonstrere, at kontroller er designet korrekt fra start. |
Kan bruges når virksomheden skal vise, at kontrollerne fungerer effektivt over tid, hvilket dermed øger tilliden til systemets robusthed. |
Bevis |
Dokumentation for design og implementering |
Dokumentation for design, implementering og effektiv drift af kontrollerne |
Eksempel |
En nyoprettet virksomhed, der ønsker at vise, at deres kontroller er passende designet for at beskytte kundedata. |
En veletableret virksomhed, der ønsker at vise, at deres kontroller fortsat fungerer effektivt for at opretholde sikkerheden over tid. |
Er ISAE 3000 en GDPR erklæring?
Selvom ISAE 3000 ikke er en specifik GDPR-certificering, kan den bruges til at dokumentere GDPR compliance. Erklæringen kan vise, at en databehandler overholder GDPR-reglerne ved at have passende kontroller og sikkerhedsforanstaltninger på plads.
FSR – danske revisorer og Datatilsynet har fx samarbejdet om at udvikle skabeloner til brug for erklæring om overholdelse af databeskyttelsesforordningen. Disse skabeloner er bygget på ISAE 3000 erklæringen, og formålet med skabelonerne er at sikre, at alle relevante emner er afdækket med erklæringen, og at de derfor opfylder kravene fra både Datatilsynet og de generelle revisionskrav. Derfor ser du ofte ISAE 3000 erklæringen benyttet af danske organisationer til at demonstrere GDPR-compliance.
Hvorfor kræve en ISAE 3000 erklæring?
Dataansvarlige, som gør brug af databehandlere, skal sikre sig, at databehandlerens behandling af personoplysninger foregår i overensstemmelse med databehandleraftalen.
Dette er krav i GDPR-reglerne.
En ISAE 3000 erklæring angående en databehandlers GDPR compliance er et troværdigt signal til den dataansvarlige om, at databehandleren foretager en sikker behandling af personoplysninger. Derudover medfører erklæringen også mindre arbejde for den dataansvarlige, da denne ikke skal tjekke databehandlerens processer i samme grad, samt får en større sikkerhed for, at persondata bliver behandlet forsvarligt.
ISAE 3000 erklæringen gør det altså nemmere for den dataansvarlige at lave sin due diligence af databehandleren inden, at samarbejdet og overladelse af behandlingen af personoplysninger til databehandleren påbegyndes.
En databehandler kan tilmed gøre det løbende tilsynsarbejde lettere for den dataansvarlige ved løbende at forny denne ISAE 3000 erklæring. Den dataansvarlige skal nemlig altid sikre sig, at behandlingen foretages sikkert af databehandleren. En databehandlers fornyelse af ISAE 3000 erklæringen giver derfor løbende en ressourcebesparelse til den dataansvarlige, som blot kan tjekke at erklæringen fortsat er gældende.
Det skal dog altid sikres af den dataansvarlige, at erklæringen er udarbejdet i relation til den aktuelle databehandling, som den dataansvarlige har overladt til databehandleren, og ikke en anden behandling. Du kan tjekke om erklæringen er passende til formålet, da dette skal være beskrevet i starten af erklæringen.
Kort sagt, en ISAE 3000 erklæring sparer tid og ressourcer for både databehandleren og den dataansvarlige ved at skabe tillid gennem denne eksterne kontrol.
Bør alle lave en ISAE 3000 erklæring?
Databehandlere
En databehandler kan fx være en softwareudbyder, og dennes kerneforretning indebærer behandling af personoplysninger på kundens vegne.
Dette er et krav for mange dataansvarlige, at databehandlerne kan påvise efterlevelse af fx GDPR-reglerne via en ISAE 3000 erklæring, som på den måde bliver et konkurrencevilkår.
Alternativet til at have en ISAE 3000 erklæring er, at alle dataansvarlige selv ville skulle føre tilsyn med, at databehandlerens behandlingspraksis er korrekt. Dette vil være besværligt for den dataansvarlige, men også for databehandleren, da det er komplekst og ressourcekrævende at håndtere kundernes forskellige tilsyn.
Det er altså - alt andet lige - nemmest for alle parter, at databehandleren får en autoriseret tredjepart til at foretage et tilsyn.
Dataansvarlige
Det er ikke kun relevant for databehandlere at få en ISAE 3000 erklæring af virksomhedens GDPR compliance. Den dataansvarlige kan også have en interesse i at signalere til sine kunder og øvrige interessenter, at GDPR-reglerne efterleves. Det sender et stærkt signal til omverdenen om, at der arbejdes seriøst med databeskyttelse, og at lovgivningen følges til punkt og prikke.
Hvordan er processen?Du kan læse hvordan, at vi fik vores ISAE 3000 erklæring lavet, i denne artikel, hvor vores GDPR koordinator deler sine erfaringer med hele processen. |
ISAE 3000 erklæringens indhold
En ISAE 3000 erklæring indeholder en beskrivelse, tilsynets formål og omfang af tilsynet samt en beskrivelse af de interne kontroller, som skal tjekkes af IT-revisoren, og bemærkninger hertil om resultatet af revisoren.
Herunder findes et eksempel på emner og tilhørende kontrolaktivitet, som kan kontrolleres ved en ISAE 3000 erklæring, en reference for tilknytningen til GDPR-reglerne, samt hvordan en revisor kan teste disse kontrolaktiviteter.
ISAE 3000 emne |
Kontrolaktivitet |
Databeskyttelsesforordningen |
Test |
Styring af aktiver |
Fortegnelse med behandlingsaktiviteter. Eksempel: Databehandleren har udarbejdet en fortegnelse over behandlingsaktiviteter, som opdateres løbende - mindst én gang årligt. Dataklassifikation. … |
Artikel 30, sttk. 2, 3 & 4. |
Eksempler Det er kontrolleret, at databehandleren har udarbejdet en fortegnelse over behandlingsaktiviteter som databehandler. Det er observeret, at databehandleren har udarbejdet en fortegnelse over behandlingsaktiviteter på vegne af kunderne. Det er yderligere observeret, at fortegnelsen er lagret elektronisk og indeholder de nødvendige elementer ifølge databeskyttelsesforordningens artikel 30, stk. 2. Der er informeret om, at fortegnelser i henhold til artikel 30, stk. 2 i databeskyttelsesforordningen er tilgængelige for tilsynsmyndigheden efter anmodning. |
Personalesikkerhed |
Før ansættelse Eksempel: Der foretages baggrundstjek af alle jobkandidater i henhold til virksomhedens krav vedrørende den funktion, som medarbejderen skal varetage. Under ansættelse … Fortrolighedsaftaler. … Ved ansættelsens ophør. … |
Artikel 28, stk. 1. Artikel 28, stk. 3, litra b. |
Eksempel: Der er lavet forespørgsler til relevant personale hos databehandleren. Det er kontrolleret, at databehandleren har en procedure for baggrundstjek af nye medarbejdere med adgang til personoplysninger, og det er observeret, at de skal fremvise en straffeattest. Der er stikprøvevist kontrolleret dokumentation for, at baggrundstjek udføres i overensstemmelse med forretningskrav til den pågældende jobfunktion. |
ISAE 3000 beviser
For at leve op til de krav, som revisoren stiller til en ISAE 3000 erklæring, er det vigtigt at dokumentere, at man faktisk overholder kontrollen. Det kræver løbende dokumentation, som revisoren kan bruge som grundlag for at godkende kontrollen. Mangler der tilstrækkeligt bevismateriale, kan det resultere i en anmærkning i revisors erklæring.
Du kan se en færdig ISAE 3000 erklæring inklusiv alle kontrolaktiviteterne, samt finde beskrivelser af hvordan disse testes i .legal A/S’s senest udførte ISAE 3000 erklæring.
Andre certificeringer
ISAE 3000 erklæringen bruges som et middel til at demonstrere GDPR compliance over for virksomhedens interessenter, men der findes også andre måder at gøre dette på.
En anerkendt måde at demonstrere, at en virksomhed har et passende sikkerhedsniveau, er ved at få en ISO27001 certifikation. ISO27001 er en international standard, som stiller en masse krav til virksomhedens informationsikkerhed.
Man kan også få lavet en ISAE 3402 erklæring, som på mange måder er lig GDPR-erklæringen (ISAE 3000), men som i stedet har til formål at føre tilsyn med virksomhedens informationssikkerhed ligesom ISO27001.
Opsummering: Fordele ved en ISAE 3000 erklæring
Hvis din virksomhed ønsker at demonstrere over for kunder, partnere og øvrige interessenter, at I efterlever GDPR-reglerne, så er ISAE 3000 erklæringen en metode til at opnå dette. Det har følgende følgende fordele:
- Øger tillid hos kunder og partnere.
- Reducere behovet for tilsyn.
- Giver en konkurrencefordel.
- Forbedret intern kontrol og procedurer.
Ofte Stillede Spørgsmål om ISAE 3000
Hvad er ISAE 3000?
ISAE 3000 er en international standard der giver retningslinjer for revisorer, som udfører erklæringsopgaver om ikke-finansielle emner. Den bekræfter, at en organisations kontroller er designet korrekt og fungerer korrekt.
Er ISAE 3000 en GDPR certificering?
Selvom det ikke specifikt er en GDPR certificering, demonstrerer ISAE 3000 erklæringer effektivt GDPR compliance ved at bekræfte, at passende databeskyttelseskontroller og sikkerhedsforanstaltninger er på plads.
Hvad er forskellen mellem ISAE 3000 Type 1 og Type 2?
Type 1 erklæringer bekræfter, at kontroller er hensigtsmæssigt designet på et specifikt tidspunkt. Type 2 erklæringer verificerer, at kontroller ikke kun er veldesignede, men også fungerer effektivt over en defineret periode.
Hvem har brug for en ISAE 3000 erklæring?
Databehandlere der håndterer personoplysninger for klienter har typisk brug for ISAE 3000 erklæringer for at demonstrere compliance. Dataansvarlige kan også have gavn af at få erklæringer for at skabe interessenternes tillid.
Hvor lang tid tager ISAE 3000 certificering?
Tidsrammen varierer afhængigt af din organisations størrelse og kompleksitet, men typisk 3-6 måneder inklusiv forberedelse, revision og rapportfærdiggørelse.
Læs mere om certificeringsprocessen
Hvad koster ISAE 3000 certificering?
Omkostningerne varierer baseret på organisationsstørrelse, omfang og revisorvalg. Kontakt autoriserede revisorer for specifikke tilbud baseret på dine krav.
Hvordan sammenligner ISAE 3000 med ISO 27001?
ISAE 3000 fokuserer på at demonstrere compliance gennem ekstern revision, mens ISO 27001 er en ledelsessystemstandard for informationssikkerhed.
Læse mere om ISO 270001 compliance her
Kan jeg bruge ISAE 3000 til compliance ud over GDPR?
Ja, ISAE 3000 kan tilpasses forskellige compliance områder herunder bæredygtighedsrapportering, cybersikkerhedsrammer og andre regulatoriske krav.
Hvor ofte skal ISAE 3000 erklæringer fornyes?
De fleste organisationer fornyer ISAE 3000 erklæringer årligt for at opretholde aktuel compliance demonstration, selvom specifik timing afhænger af forretningsbehov og interessentkrav.
Hvor kan jeg se et eksempel på en ISAE 3000 erklæring?
Du kan se .legal's færdige ISAE 3000 erklæring for at forstå strukturen og indholdet af en professionel erklæring.
Se .legal
.legal compliance platform Håndter dine erklæringer smartere
Info
.legal A/S
hello@dotlegal.com
+45 7027 0127
CVR: 40888888
Support
support@dotlegal.com
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.