ISAE 3000-erklæringer

En ISAE 3000-erklæring kan bruges til at bevise, at I efterlever og har styr på databeskyttelsesforordningen (GDPR), eller at I lever op til de krav, som I har forpligtet jer til i databehandlerhandleraftaler med kunder. Erklæringen er altså en mulighed for jer til at vise over for jeres kunder og dataansvarlige, at I er en ansvarlig virksomhed, som behandler persondata korrekt.

ISAE 3000-erklæringen kort fortalt

ISAE 3000-erklæringen, ofte også kaldt en GDPR-erklæring, er en gennemgang af de procedurer og kontroller, som jeres virksomhed har implementeret for at overholde GDPR og/eller de krav, som er angivet i de databehandleraftaler, I har indgået med jeres kunder. Erklæringen udføres af en revisor og består af en række faste afsnit, som dækker jeres og revisors ansvar, beskrivelse af ydelsen eller systemet samt en gennemgang af de procedurer, foranstaltninger og kontroller, som er blevet testet.

Hvis revisoren i gennemgangen af procedurer, foranstaltninger og kontroller har konstateret væsentlige afvigelser fra, hvad I har sagt, at I har implementeret, eller hvad I burde have implementeret, så vil dette fremgå i erklæringen.

En ISAE 3000-erklæring kan gives for et givent tidspunkt (Type I) eller for en periode – typisk et år (Type II). For en Type II kræver det, at vi som revisorer har haft kendskab til og mulighed for at kontrollere jeres overholdelse af GDPR eller databehandleraftaler i hele perioden.

En ISAE 3000-erklæring kan afgives med ’begrænset’ eller ’høj’ grad af sikkerhed. Hos Grant Thornton arbejder vi altid med høj grad af sikkerhed, da det giver den bedste tryghed for jer og jeres kunder.

Hvorfor en få en ISAE 3000-erklæring?  

Der kan være flere grunde til, at en virksomhed vælger at få en ISAE 3000-erklæring. Dette afhænger ofte også af, om I primært er dataansvarlige eller databehandlere.

Hvis I primært er dataansvarlige, kan en ISAE 3000-erklæring være en måde at vise til jeres kunder, at jeres virksomhed tager håndtering af deres persondata seriøst, og at I overholder GDPR. Erklæringen kan på den måde fungere som en validering af jeres virksomhed, fordi det ikke blot er noget i påstår, men at I er blevet kontrolleret af en uafhængig tredjepart.

For databehandlere kan ISAE 3000-erklæringen bevise, at I overholder de forpligtelser, I er pålagt i databehandleraftaler med jeres kunder. Ifølge GDPR skal dataansvarlige kontrollere deres databehandlere, og det kan de bl.a. gøre ved at få databehandleren til at få udarbejdet en ISAE 3000-erklæring. Til tider kan kravet om en ISAE 3000-erklæring også være indskrevet i databehandleraftalen og dermed være en kontraktuel forpligtelse.

Hvis I er databehandler for mange dataansvarlige, vil en ISAE 3000-erklæring desuden kunne spare jer tid og ressourcer, da erklæringen kun skal laves én gang årligt og herefter kan udleveres til alle de dataansvarlige, som modtager samme ydelse fra jer. På den måde kan I fx undgå at skulle besvare en masse individuelle spørgeskemaer, hvilket ofte kan være meget tids- og ressourcekrævende. 

Hvad kræver det at få en ISAE 3000-erklæring?

For at få mest muligt ud af en ISAE 3000-erklæring skal I gerne have godt styr på GDPR og/eller kravene i databehandleraftalerne samt jeres processer, procedurer og implementerede tiltag til at overholde kravene. Derudover skal I i forbindelse med revisionen udarbejde en beskrivelse af jeres virksomhed samt ydelse/systemer, som bl.a. skal indeholde information, om hvilke personoplysninger I behandler, og hvordan I passer på dem. Denne beskrivelse skal bruges som grundlag for selve revisionen, så det er vigtigt, at I har overblik over de ting, I rent faktisk gør og har eller kan nedskrive dette. I forlængelse heraf er det en fordel, hvis I har så mange som muligt af jeres procedurer, politikker og kontroller nedskrevet, da det gør revisionen bedre og mere effektiv.

Hvis I ikke føler jer sikre på, om I er klar til en revision, hjælper vi gerne. Inden en revision vil vi altid tage en indledende samtale, hvor vi sammen kan blive klogere på, om I er klar til revisionen og hvis ikke, hvad der skal til, for at I bliver klar. Vi hjælper desuden gerne med vejledninger og skabeloner eller kan afholde en workshop med jer, så vi sikrer, at I er bedst muligt forberedt på revisionen. Hvis vi skal hjælpe med at udarbejde materiale eller rådgive yderligere, vil I få tilknyttet en rådgiver, som så ikke deltager i den efterfølgende revision for at sikre revisionens uafhængighed.

Processen for en ISAE 3000-erklæring

Når vi skal lave en erklæring for jer, starter vi typisk med et indledende møde, hvor vi kan lære hinanden at kende, og I kan stille spørgsmål. Herefter planlægger vi tidspunkt for selve revisionen – længden af denne afhænger af, hvor stor og kompleks jeres virksomhed er, om vi har revideret jer før og andre relevante faktorer. Under revisionen vil vi gennemgå jeres dokumentation og stille spørgsmål, hvormed I også vil have mulighed for at forklare processer og uddybe dokumenter hvis nødvendigt. Efter selve revisionen vil vi bruge noget tid på at processere den dokumentation, vi har modtaget og udarbejde selve ISAE 3000-erklæringen. Herefter modtager I erklæringen i udkast og til endelig underskrift.

Hos Grant Thornton gør vi meget ud af, at revisionen skal være en god og lærerig oplevelse for jer. Derfor fortrækker vi også, at vi kan sidde sammen og tale om jeres virksomhed, procedurer og kontroller i stedet for, at vi bare sidder på vores kontor og læser alle jeres dokumenter. Det giver os både en bedre forståelse for jer og jeres virksomhed, og samtidig kan I nemmere stille spørgsmål undervejs og blive klogere på, hvordan I fx kan lave mere effektive kontroller og procedurer. For os skal en ISAE 3000-erklæring gerne være en mulighed for jer til at forbedre jer og ikke blot være en løftet pegefinger og en lang rapport.

Kontakt os for at komme i gang

Hvis I mener, at en ISAE 3000-erklæring er noget for jer, er I velkomne til at tage fat i os for en uforpligtende indledende samtale om jeres ønsker og behov. Vi sidder klar med gode råd og vejledning, så I kan få en erklæring, som I kan være stolte af.

I er altid velkommen til at kontakte Head of IT Audit & Advisory, Anders Grønning-Kjærgaard på telefon +45 35 27 50 53 og mail anders.kjaergaard@dk.gt.com eller IT revisor (CIPP/E), Camilla Immerkær telefon +45 35 27 50 90 og mail camilla.immerkaer@dk.gt.com.

Head of IT Audit & Advisory

Anders Grønning-Kjærgaard

Anders Grønning-Kjærgaard