GDPR og voksende datastrømme har ledt til mange nye spørgsmål. Særligt private virksomheder og offentlige myndigheder har måtte spørge sig selv, hvor sikkert deres data og informationer egentlig bliver behandlet. Både de private virksomheder, offentlige myndigheder og serviceleverandører kan få svaret via ISAE-erklæringer.

I dag håndteres flere og flere dele af virksomheds- og organisationsprocesser af en tredjepart. Bogføring og lønadministration håndteres eksternt, servere lejes i et driftscenter, elektronisk infrastruktur (IaaS) og/eller platform (PaaS) er cloud-baseret. Det samme gælder applikationer og anden software (SaaS).

I alle disse tilfælde kan ISAE-erklæringer hjælpe med at sikre, at sikkerhedssystemer og -protokoller til databeskyttelse rent faktisk virker, som de skal.

Vi har stor erfaring med uafhængige revisorerklæringer for databehandlere. Vores faglige kompetencer kan dække alle tekniske platforme og sikkerhedsstandarder, og vi kender den databehandling, som definerer hverdagen for både den private og den offentlige sektor.

Hjælper vi jer med jeres ISAE-erklæringer, kan vi sammen højne og effektivisere jeres databehandling og informationssikkerhedsniveau.

ISAE-erklæringer

Målet med ISAE-erklæringer er at sikre, at du behandler og sikrer data korrekt. Når databehandling outsources til en serviceleverandør, er der behov for at dokumentere, at serviceleverandørens informationssikkerhed omkring de leverede ydelser er fyldestgørende og i overensstemmelse med kundekontrakten.

Det sker blandt andet ved at undersøge og teste de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren har indført, så oplysninger hverken tilintetgøres ulovligt, fortabes, forringes, misbruges eller i øvrigt behandles i strid med loven.

Vi ser ofte forskellige områder, hvor der kan være problematikker, som vi igennem en ISAE-proces kan afdække. Nogle af områderne inkluderer:

Hvis beskrivelsen af databehandlerens behandling af personoplysninger ikke er tilstrækkelig i hverken hovedaftalen eller databehandleraftalen.

Hvis databehandleraftalen mangler præcise og konkrete instrukser for de dele af behandlingsaktiviteterne, som databehandleren varetager i leveringen af sine ydelser.

Hvis databehandleraftalen mangler at blive tilpasset den kontekst, som behandlingen sker i, fx i projekter, daglig drift og outsourcing af aktivitet.

Hvis beskrivelsen af den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren, ikke afspejler den risiko, der reelt er til stede i den konkrete databehandlerkonstruktion.

Hvad er en ISAE 3000-erklæring?

ISAE 3000-erklæringer gælder blandt andet i forhold til databeskyttelsesforordningen og databeskyttelsesloven (GDPR). Denne kan ses som en ramme for kontrolmål og kontrolaktiviteter, der vedrører erklæringsemnet. Erklæringsemnet kan fx være udtalelser om, hvilke sikkerhedsforanstaltninger og -processer en databehandler har opsat, og hvordan de fungerer. Erklæringen skal fx anvendes, når databehandleren foretager behandling af personoplysninger som led i hosting, drift af operativsystemer og databaser eller levering af applikationer. Erklæringen kan ligeledes anvendes, når databehandleren er ansvarlig for en proces, fx behandling af personoplysninger i processen for løn- og personaleadministration. ISAE 3000-erklæringen skal forsikre den dataansvarlige om, at databehandleren behandler de personoplysninger, som den dataansvarlige er ansvarlig for, på en passende måde. Den kan både være et øjebliksbillede eller dække en længere periode. Den indeholder revisors konklusion på effektiviteten af de tekniske og organisatoriske sikkerhedsforanstaltninger (kontroller), som databehandleren har etableret for at opfylde databehandleraftalen og sikre en passende persondatabeskyttelse.

Hvad er en ISAE 3402-erklæring?

En ISAE 3402-erklæring er baseret på revisors standard for erklæringsopgaver med sikkerhed om kontroller hos en serviceorganisation. Det er altså revisors erklæring på, at en serviceleverandør har indført effektive kontroller med betydning for virksomhedens bogføring og regnskabsaflæggelse. Denne standard omhandler kun erklæringer, der skal benyttes af virksomheden og dens revisor i forhold til de kontroller hos serviceleverandøren, som er relevante for virksomhedens interne kontrol af bogføring og regnskabsaflæggelse. Det kan fx være generelle it-kontroller ved outsourcing af økonomistyringssystemer eller kontroller i forbindelse med løn- og personaleadministration. Virksomhedens revisor anvender ISAE 3402-erklæringen i forbindelse med revisionen af årsregnskabet i stedet for selv at udføre revisionen hos de leverandører, som leverer ydelser eller systemer med betydning for bogføring og regnskab.

Hvad er en ISRS 4400-erklæring?

En ISRS 4400-erklæring gælder de aftalte arbejdshandlinger, der ifølge dansk revisorlovgivning vedrører regnskabsmæssige oplysninger og yderligere krav.

Denne standard retter sig derfor mod opgaver, der vedrører regnskabsmæssige oplysninger. Den kan dog også være retningsgivende ved opgaver om ikke-regnskabsmæssige oplysninger under forudsætning af, at revisor har tilstrækkeligt kendskab til det pågældende område, og at der er rimelige kriterier, som observationer og resultater kan baseres på.

Denne standard kan benyttes i forhold til databeskyttelsesforordningen, hvor dataansvarlig/databehandler laver en aftale med en revisor om at udføre konkrete arbejdshandlinger for specifikke områder i kravene til de tekniske og organisatoriske sikkerhedsforanstaltninger. Her er fx tale om kryptering af personoplysninger, fortroligheden til personoplysninger samt genoprettelse af tilgængelighed af og adgang til personoplysninger.

Få styr på det hele

Vi sætter en ære i at møde dig i øjenhøjde der, hvor du er. Via proaktiv sparring og workshops finder vi sammen de løsninger, som matcher din situation.

Vi starter ofte et ISAE-forløb med en workshop, hvor vi sammen blandt andet arbejder med handlingsplaner, som vi bygger ud fra eksisterende skabeloner. Her går vi igennem både procedurer og tilhørende kontroller, og vi undersøger, hvordan kontrollerne vil fungere.

ISAE-erklæringer