En kunde (dataansvarlig) har en leverandør (databehandler). Dataansvarlig skal kunne påvise at man efterlever GDPR selvom visse forhold er outsourcet til databehandler. En erklæring fra en revisor kan være metoden, udover at dataansvarlig selv kan foretage inspektion og kontrol. Men det er ikke nok blot at modtage erklæringen. Der er mange forhold i erklæringsrapporten hvor der kan gemme sig væsentlige detaljer.
Ligesom en ISAE 3402 erklæringsrapport, starter en ISAE 3000 GDPR erklæringsrapport med titlen ”Uafhængig revisors erklæring om…”. Og hvad handler den så om? Dette forsøges beskrevet for de mest væsentlige forhold i den samlede erklæringsrapport.
En ISAE 3000 GDPR erklæringsrapport indeholder:
- Forside
- Indholdsfortegnelse
- Virksomhedens systembeskrivelse (eller kontrolbeskrivelse)
- Ledelsens udtalelse
- Revisors erklæring
- Skemaer med detailspecifikationer af de gennemgåede forhold
Der kan også være endnu et kapitel til erklæringsrapporten, men det er ikke så ofte det benyttes. Et kapitel bagerst, som indeholder virksomhedens redegørelse til de af revisor fundne forhold.
Mange virksomheder får udarbejdet denne type erklæring for at kunne bevise sin efterlevelse (eller på engelsk: compliance) af GDPR i sin rolle som databehandler. Indtil videre, er denne erklæring den eneste reelle måde at vise at man møder sine forpligtelser, og derfor er der mange DPO’er (databeskyttelsesrådgivere) der efterspørger disse. Denne type erklæring er ligeledes ofte nævnt som krav i databehandleraftaler baseret på skabeloner fra Kombit eller Datatilsynet. Her vil der i afsnittet ’Revision’ være nævnt, at der årligt skal leveres en ISAE 3000 GDPR-erklæring.
Forside (1) og indholdsfortegnelse (2)
Det giver næsten sig selv. Forsiden kan dog løfte noget af sløret for hvad erklæringsrapporten omhandler, for enten kan indholdet omhandle hele virksomhedens ydelse mod alle sine kunder, dele af virksomhedens ydelser, og/eller en konkret ydelse til en konkret kunde. Det er også på forsiden, at det typisk står anført, om der er tale om et øjebliksbillede eller en periode-erklæring.
En ISAE 3000-erklæring kan indeholde mange emner. I disse tider benyttes ISAE 3000 ofte til GDPR, men ISAE 3000 erklæringen benyttes også eksempelvis til it-sikkerhed, til NSIS, erklæringer til taxa-branchen overfor Færdselsstyrelsen, og finansielle revisorer benytter ISAE 3000 til vurderingsberetninger mv. Men her omhandler det GDPR.
Erklæringen kommer i overordnet to varianter: Som et øjebliksbillede og som en periode-erklæring. Dette er en væsentlig forskel, og typisk vil en virksomhed, der skal have udarbejdet en ISAE 3000 GDPR starte med en erklæring baseret på et øjebliksbillede, for derpå at fortsætte med en periode-erklæring med 12 måneders interval. Det er op til den reviderede virksomhed, i samspil med sine kunder og sit marked, at vurdere om perioden skal være kalenderåret (forudsat der er tale om 12 måneder).
Virksomhedens systembeskrivelse/ kontrolbeskrivelse (3)
I dette kapitel i erklæringsrapporten findes– typisk 5-10 sider – prosa, der beskriver virksomhedens ydelse, og vigtigst, virksomhedens beskrivelse af de tiltag der er gjort for at leve op til det man nu end skal leve op til. Det er her læser vil kunne finde frem til hvilket rammeværktøj som virksomheden benytter til strukturering af sit arbejde (f.eks. ISO 27001), hvordan virksomheden arbejder med underleverandører, hvilke politikker der er implementeret, hvilke procedurer virksomheden arbejder efter, med hvilken frekvens risikoanalyser opdateres osv.
Det er også i dette kapitel, at virksomheden beskriver om der er sket væsentlige ændringer i perioden (hvis periode-erklæring), for det kan være nyttigt for erklæringsmodtager (altså dem der modtager virksomhedens ydelse). Det er også i dette kapitel, at virksomheden beskriver såkaldte komplementerende kontroller. Dette er revisorsprog for hvilke forhold i virksomhedens ydelse, som kunderne selv er ansvarlige for. Det kan være meget relevant at være helt klar på, om brugeradgangen til en webløsning, som virksomheden udbyder, fordres håndteret af virksomheden eller kunden. Forhåbentlig er der ikke tvivl om disse komplementerende kontroller, for det bør være alment kendt mellem kunde og leverandør, og sikkert også benævnt i både en kommerciel kontrakt og forretningsvilkår, men der er alligevel en sådan overskrift blot for at være sikker på, at noget ikke falder mellem to stole.
Et væsentligt forhold, som man skal være opmærksom på generelt set er, om de forhold der er nævnt i kontrolbeskrivelsen nu også lever op til hvad man som ydelsesmodtager (kunde) forventer. Det bør selvfølgelig være sådan, at virksomheden ikke skriver noget som varierer fra databehandleraftalen der er mellem virksomheden og dens kunder, men er der forskel, og er arbejdet med erklæringsrapporten baseret på virksomhedens generelle leverance, og ikke kundespecifikke ydelse, er det væsentligt at læse og forstå hvad virksomheden skriver i sin kontrolbeskrivelse. Revisor kan jo have påset og i øvrigt være enig i, at den reviderede virksomhed sletter persondata efter 30 dage, men hvis erklæringsmodtager har en aftale med virksomheden om at persondata slettes med det samme efter instruks, vil det jo ikke fremgå som en såkaldt afvigelse. Derfor skal erklæringsmodtager være meget opmærksom på at læse og forstå kontrolbeskrivelsen i sammenhæng med den kommercielle aftale, der er mellem de to parter.
ISAE 3000-erklæringsstandarden giver mulighed for, at revisor har afgivet sin konklusion baseret på det man kalder partiel-metoden eller helhedsmetoden. Når helhedsmetoden benyttes, betyder det helt simplificeret, at erklæringsrapporten dækker hele den leverance, som virksomheden beskriver i sin kontrolbeskrivelse. Altså inklusive underleverandørers leverance (f.eks. cloud-leverandører, leverandører af fysisk lokalitet til serverdrift etc.). Partiel-metoden bliver mere og mere anvendt som indtoget af store cloud-leverandører sker, for her afgrænses arbejdet ved ikke at omfatte hvad virksomheden har videre-outsourcet.
Se derfor efter en sætning i starten af kontrolbeskrivelse (og i øvrigt også ledelsens udtalelse og revisors erklæring) der nævner om arbejdet ikke har omfattet effektive kontroller hos virksomhedens underleverandører. Er der ikke nævnt noget herom, er erklæringen afgivet efter helhedsmetoden.
Ledelsens udtalelse (4)
I dette afsnit, som oftest fylder 1-2 sider, bekræfter den ansvarlige ledelsesfunktion (typisk en direktør eller en leder af den leverede ydelse), hvordan virksomheden har tilrettelagt arbejdet med de områder der er relevant i erklæringsrapporten.
Det vil også være her – med reference til partiel- og helhedsmetoden benævnt i foregående kapitel – at virksomheden beskriver omfanget af hvad de har bedt revisor attestere.
Formelt set er det sådan, at ledelsens udtalelse bekræfter det beskrevne i virksomhedens kontrolbeskrivelse, så den underskrift der sættes på udtalelsen, har en vis vægt.
Revisors erklæring (5)
I dette afsnit findes revisors bekræftelse (eller det modsatte) af om det, som virksomheden har beskrevet sin kontrolbeskrivelse, er retvisende. Retvisende er nøgleordet, for revisor giver ingen 100% garanti for, at alt i virksomheden foregår som det skal. Revisors underskrift er en bekræftelse af, at forholdene i al væsentlighed efter revisors faglige bedømmelse er OK.
Som nævnt under punktet for systembeskrivelse/kontrolbeskrivelse (3), er det væsentligt at se efter om revisor har tilrettelagt sit arbejde baseret på helhedsmetoden eller partiel-metoden (se uddybning tidligere i dette dokument). Er der i de indledende afsnit ikke benævnt noget om brug af partiel-metoden, vil erklæringen være baseret på helhedsmetoden.
Se også efter om revisor har opnået såkaldt ’høj grad af sikkerhed’ eller ’begrænset sikkerhed’. Dette betyder ret beset, i hvor høj grad revisor er gået i dybden i de enkelte punkter og har udvalgt tilstrækkeligt antal stikprøver. En ISAE 3000 GDPR-erklæring bør afgives med ’høj grad af sikkerhed’, men idet det formelt set ikke er et krav, bør erklæringsmodtager være opmærksom på dette.
En god portion af de øvrige sætninger og afsnit i revisors erklæring baserer sig på en række formkrav og formalia i forhold til nationale og internationale standarder. Dette beskrives ikke yderligere i dette dokument, idet det vil være for omfangsrigt. Erklæringen skal dog omhandle en række beskrivelser af hvilke betingelser revisionen har været omfattet af, hvorvidt revisor har fundet anledning til at mene at der er indhentet tilstrækkeligt bevis for at kunne udtale sig osv.
Et meget væsentligt afsnit i revisors erklæring i en ISAE 3000 GDPR-erklæring, er konklusionsafsnittet. Formelt set og på revisorsprog, kan revisor afgive sin konklusion enten bekræftende (uden bemærkninger), med en modificeret konklusion (der er har været væsentlige afvigelser), og dermed med et forbehold, eller med såkaldt manglende konklusion. For sidstnævnte har revisor ikke kunne opnå tilstrækkeligt grundlag i sin revision, til at kunne udtale sig. Ikke udover at kunne udtale, at revisor ikke kan udtale sig. Så at sige.
I forhold til revisors konklusion, kan det også nævnes på anden vis: Er der i erklæringen et afsnit med en overskrift der er benævnt ’Konklusion’ er der tale om en “blank” påtegning. Revisor kan bekræfte, at det som virksomheden udtaler sig om i kontrolbeskrivelsen, dækker i al væsentlighed det som revisor i sin revision har fundet. Er overskriften erstattet med ’Modificeret konklusion’ eller ’Konklusion med forbehold’, er der væsentlige forhold der ikke er tilstrækkelige. Er overskriften benævnt ’Manglende konklusion’ er der noget helt galt. Hvad der end er ’væsentligt’, jf. førnævnte, skal dog afvejes i det enkelte tilfælde. Det kan være væsentligt for visse erklæringsmodtagere og mindre væsentlig for andre. I det næste kapitel (se herunder) kan læser finde yderligere information om de fundne forhold udover hvad der er nævnt i revisorerklæring.
En revisorerklæring skal naturligvis underskrives, og det er alene godkendte revisorer, dvs. statsautoriserede eller registrerede revisorer der må underskrive en revisorerklæring. Der må gerne være en medunderskriver, men én af underskriverne skal være godkendt revisor. I visse tilfælde, hvilket det er hos Grant Thornton, underskriver både en statsautoriseret revisor og en certificeret it-revisor (CISA). Dette understreger det samlede kompetenceniveau for den afgivne erklæring.
Skemaer med detailspecifikationer over gennemgåede forhold (6)
I langt de fleste tilfælde, vil erklæringsrapporten være ledsaget af en lang række skemaer. Det er her revisor har noteret hvilke helt overordnede kontrolmål og implementerede kontroller, som er gennemgået.
Typisk vil revisor have beskrevet hvilken metode der er benyttet for at udføre arbejdet, og herefter følger skemaerne. Der bør være en relativ lige linje mellem alle disse punkter og kontrolbeskrivelsen, og typisk vil kontroller være beskrevet i skemaets venstre kolonne. I den næste kolonne vil revisor havde beskrevet sine arbejdshandlinger for at kontrollere det enkelte punkt, og i den følgende kolonne vil revisor skrive hvis der har været afvigelser.
En sætning som: ’Ingen afvigelser konstateret’ vil typisk være listet ned gennem rækkerne, og det betyder, at revisor ikke har fundet fejl eller andet der afviger i forhold til virksomhedens måde at arbejde på for det enkelte punkt.
Er der afvigelser behøver det ikke nødvendigvis være en katastrofe, for visse afvigelser kan betyde mere for visse kunder og mindre for andre kunder. Et spørgsmål kunne jo så være, hvornår revisor afvejer om afvigelser nævnt her er så vægtige, så det ændrer på den overordnede konklusion i revisors erklæring? Her er det afgørende og springende punkt, at revisor kan have fundet afvigelser som led i sin revision, men ikke afvigelser der er væsentlige nok til at de konkrete kontrolmål ikke er opnået. Er det tilfældet, vil revisor ikke vægte disse afvigelser til at skulle have konsekvens for den overordnede konklusion i revisors erklæring.
Virksomhedens redegørelse (7)
I særlige tilfælde kan virksomheden have brug for, efter revisor af fremvist sine konklusioner, at redegøre for de findings, som revisor har konstateret. Det kan være, at virksomheden føler behov for at beskrive at der er sket så væsentlige organisatoriske ændringer i revisionsperioden, så rette fokus på dokumentation af ajourføring af sikkerhedspolitik, ikke er sket – og at der efter revisionsperiodens afslutning er udarbejdet en handlingsplan for at findings håndteres.
Det er ikke så ofte at dette kapitel er med, men det er en måde at kommunikere fra virksomhed til erklæringsmodtager. Bemærk, at revisor ikke i sin erklæring refererer eller tager hensyn til dette kapitel.
Hvad er en ISAE 3000 GDPR ikke?
En garanti for at alt er godt. En ISAE 3000 GDPR giver ingen garanti for at alt er godt, eller at alt er gået godt. Det er heller ikke en certificering, sådan som en ISO 27001 certificering er.
Tjekliste
Som modtager af en ISAE 3000 GDPR erklæringsrapport, skal man således være opmærksom på en række punkter. Sammenfattet er de væsentligste her:
| Forside: |
|
| Indholdsfortegnelse: |
|
| Virksomhedens systembeskrivelse/ kontrolbeskrivelse: |
|
| Ledelsens udtalelse: |
|
| Revisors erklæring: |
|
| Skemaer med detailspecifikationer over gennemgåede forhold: |
|
| Virksomhedens redegørelse: |
|
Der er utallige andre forhold der er relevante, herunder en række øvrige formalia for specielt revisors erklæring. Ovennævnte er de mest væsentlige set ud fra erklæringsmodtagers perspektiv.
Se mere om ISAE 3000 GDPR, erklæringsprocessen og øvrige GDPR-relaterede informationer.
Kender man ISAE 3402 erklæringen er der mange ligheder i forhold til opbygning og formalia. Det er ikke tilfældigt, for disse GDPR-erklæringer følger opbygningen sådan som ISAE 3402 erklæringen er bygget op. Er der en sammenhæng mellem disse to? Kan den ene gå foran den anden? Er den ene bedre end den anden? Se mere her i denne artikel, hvor vi beskriver forskellen på ISAE 3402 og ISAE 3000 GDPR.
