ISAE 3000 GDPR erklæring – valg af sikkerhed: Høj og Begrænset (light)

Ligesom den ISAE 3000 GDPR-erklæring, som vi kender i dag, og som vi fremover vil omtale som ’ISAE 3000 GDPR Høj’, indeholder den nye erklæring de samme punkter og forhold, som vi kender i forvejen. 

Den helt store forskel på de to erklæringsvarianter er dermed dybden for, hvordan revisor afklarer, hvorvidt databehandleren gør, som vedkommende fortæller, de gør. For revisorer er begreberne ’inspicerer’, ’forespørge’, genudføre kontrol’ kendte begreber, som fortæller hvilken handling revisor har foretaget for at afklare, hvorvidt virksomheden – i dette tilfælde: databehandleren – efterlever de enkelte revisionsmål. 

Så når revisor beskriver, at vedkommende ’har forespurgt og inspiceret databehandlerens håndtering af overførsel af data til tredjelande’, betyder det, at revisor har forespurgt på alt relevant materiale (som i det her tilfælde kunne være risikoafvejning, fortegnelse, politikker om håndtering af data uden for tredjelande, databehandleraftaler med både kunder og leverandører, hjemmel for overførsel af data til tredjelande, kontrakter, tekniske beviser og meget andet), samt gennemgået og vurderet både hjemler, politikker og meget andet, for at konkludere om databehandleren gør det både lovligt og praktisk set: Om de gør det, de siger, de gør. 

Er der tale om en erklæring, der dækker en periode, så tillægges det så til revisionshandlingen, om databehandleren har ’gjort hvad de siger, de gør’ over en periode, eksempelvis 12 måneder. Visse taler om dette som en type 2-erklæring, sådan som det er tilfældet for ISAE 3402-standarden, men begreberne ’type 1’ og ’type 2’ eksisterer ikke i ISAE 3000-standarden. Her hedder det ofte ’øjebliksbillede’ eller ’point in time’ samt ’periodeerklæring’. 

Når revisor dermed både ’forespørger’, ’inspicerer’ og måske endda ’genudfører en kontrol’, er der tale om en erklæring med høj grad af sikkerhed. Det vil også stå anført i selve revisors erklæring, og i fremtiden sikkert også på forsiden af erklæringsrapporten, men det er altså sådan, man kan se forskellen indtil videre. 

For erklæringer med begrænset sikkerhed, vil den altoverskyggende del være, at revisor i meget høj grad ’forespørger’, og kun i få tilfælde ’inspicerer’. Det betyder, at revisor vil spørge databehandleren; måske overordnet påse, at svaret giver mening, og modtage materialet til revisors dokument. Men det er i praksis så langt (eller kort?), som revisor vil gå. Naturligvis har revisor en pligt til at undersøge og vurdere, så hvis revisor har en fornemmelse af at blive fortalt en god historie, så skal revisor gå dybere og spørge mere ind. 

Læs vores artikel om dataansvarliges brug af disse erklæringer, herunder dataansvarliges krav til databehandlere om at kunne præsentere disse erklæringer.  

Så forskellen på de to erklæringer er altså helt væsentligt, at revisor vurderer databehandleren ud fra det helt samme kriterier. Men graden af, hvor langt revisor går for at opnå et bevis på databehandlerens påstande, er mindre for erklæringen med begrænset sikkerhed. Begge erklæringer ligner hinanden, bortset fra henvisningerne på hhv. forside, i afsnittet hvor revisor underskriver erklæringen, samt i afsnittet, hvor revisor viser, hvilket omfang erklæringen dækker, og hvor revisor beskriver dybden af sine arbejdshandlinger. 

Læs mere om: 

Det at gennemgå en proces om ISAE 3000 GDPR-erklæring her

Den nye erklæring her

Hvordan besluttes det, om ISAE 3000 skal være med høj eller begrænset sikkerhed? 

Hvad er forskellen, når man som dataansvarlig skal vælge en ISAE 3000 GDPR Høj eller en ISAE 3000 GDPR Begrænset? Svaret er ikke så enkelt. Der er ingen styresignaler fra hhv. FSR eller Datatilsynet, udover at når der er tale om en ’simpel og begrænset mængde af personoplysninger’, så kan en erklæring med begrænset sikkerhed benyttes. Eller når dataansvarlig i forvejen benytter sig af tilsyn på anden vis, hvor en erklæring med begrænset sikkerhed måske benyttes som en led i dette tilsyn, så kan man undgå en erklæring med høj grad af sikkerhed. Det er dataansvarlig der afgør det, men ofte er det svært. 

Vi deltager i forvejen i en del dialoger mellem dataansvarlig og databehandler om tilrettelæggelsen af tilsyn og omfang for revisorerklæringer, så dialogen mellem dataansvarlig og databehandler, ift. at opnå enighed om den ene erklæring fremfor den anden, deltager vi gerne i.