Revisorerklæring og GDPR: Ny udgave af ISAE 3000 GDPR med begrænset sikkerhed

Det har for visse dataansvarlige nærmest virket som om, at der er taget principbeslutninger om, at alle databehandlere de facto skal kunne præsentere en sådan erklæring, også selvom der har været tale om en meget spinkel databehandlerkonstruktion. Underforstået, at databehandleren i praksis nærmest ikke varetager persondatabehandling for den dataansvarlige.

Det er derfor godt, at der er kommet et alternativ, som er mindre omkostningstungt end erklæringen med høj grad af sikkerhed. Men husk på, at man som databehandler sådan set reelt skal kunne leve op til de samme krav med en erklæring med begrænset sikkerhed, som hvis revisor skulle afgive erklæring med høj grad af sikkerhed.

Afvejning ift. tilsyn

Husk også på, at man som dataansvarlig stadig – og måske i højere grad – skal afveje til tilsyn. Det nytter ikke noget blot at veksle mellem de to erklæringer overfor sine databehandlere. Og vær også opmærksom på, om erklæringerne er baserede på databehandlerens generelle forhold, eller om erklæringerne matcher de konkrete krav, der er anført i databehandleraftalen mellem dataansvarlig og databehandler.

Dataansvarlig skal jo (stadig) basere sit tilsyn med sin databehandler ud fra en risikovurdering. Det sker, inden relationen mellem de to parter starter (eller ved væsentlige ændringer i et bestående databehandlerforhold). Starten er derfor:

1. Risikovurdering af persondatabehandlingen
2. Databehandleraftale etableres, herunder instruks – samt hvilket tilsyn, dataansvarlig finder nødvendigt

Et tilsyn kan være følgende i gradsforskel:

1. Intet tilsyn (principielt i hvert fald)
2. Spørgsmål til afklaring hos databehandler – automatiseret spørgeskema 
3. Eget tilsyn – besøg, adspørgsel, statusmøder, kiggen-over-skulderen – dokumenteret
4. Revisorerklæring – ISAE 3000 GDPR høj eller begrænset

Læg mærke til, at ISAE 3402 ikke som udgangspunkt kan benyttes til at bevise efterlevelse af GDPR.

Under alle omstændigheder skal den form, som dataansvarlig fører sit tilsyn efter, dokumenteres. Dels overvejelserne for, hvilket tilsyn der skal køres, men også selve tilsynet samt en konklusion herpå. Eksempelvis er det ikke nok blot at modtage en revisorerklæring. Den skal læses og forstås, gennemgås, og måske skal nogle findings endda undersøges nærmere, hvis de kan vise sig at være relevante i den enkelte konstruktion. Vigtigt er det, at dataansvarlig (og det kan fx være den pågældende DPO, der fører tilsyn med dataansvarliges GDPR-efterlevelse) konkluderer på tilsynet. Det er vigtigt at kunne vise sig selv, sin ledelse, revisionen og/eller Datatilsynet, at relationen til den enkelte databehandler sker styret og kontrolleret, og tilsynet sker løbende.

Tilsyn og cloud-leverandører

Relationer til store cloud-leverandører er principielt det samme, men så alligevel noget helt andet. For hvordan føres tilsyn med Microsoft Azure? Det skal formelt set gøres på samme vis; der skal være hjemmel, årsag, risikoafvejning, styring af datas placering osv. Microsoft (eller hvem det kan være) skal leve op til dataansvarliges krav. Også selvom det virker lidt pudsigt, når dataansvarlig måske er en mindre dansk virksomhed, der ’stiller krav’ til Microsoft. Men sådan er det. Både Microsoft, Google, Amazon og alle de andre har omfattende sektioner på deres hjemmesider, hvor de skilter med de ’beviser’ de har, dvs. revisorerklæringer, ISO-certificeringer osv. Her kan man hente information.

Tilsynet med databehandlere, hvor dataansvarliges risikovurdering afgør, at der end ikke er behov for at modtage en revisorerklæring, er noget, vi har arbejdet meget med.

ISAE 3000 GDPR med begrænset sikkerhed er også et alternativ til ISRS 4400

En lidt mindre kendt løsning på at vise sin efterlevelse af udvalgte GDPR-områder, er ISRS 4400 erklæringsstandarden. Vi har i meget få tilfælde, ud af de flere hundrede erklæringer, vi har afgivet på persondataområdet, afgivet erklæring efter ISRS 4400. Uden at gå langt ned ad en teoretisk vej om forskellen på revisionsstandarden ISRS 4400 og ISAE 3000, er den primære forskel, at en ISRS 4400 erklæring alene baserer sig på kriterier som den reviderede beder revisor om at kontrollere. Det betyder dermed, at et fåtal af vores kunder, der ønsker en revisorerklæring, men som kun ønsker at benytte meget få ressourcer på at få ”den rigtige” erklæring, beder revisor om at påse nogle få udvalgte forhold, som vi som revisorer hver for sig kan be- eller afkræfte. Der er ikke tale om, at vi så dermed tilsammen kan udtale os om, hvorvidt virksomheden lever op til sin databehandlerrolle, men det kan pege derhen ad.

Vi har haft åbnet for denne erklæringsmulighed, netop når vores kunders kunder har været meget stålfaste på en erklæring, og når vi ikke har kunne finde fagligt fundament for udarbejde en ISAE 3000 GDPR erklæring. Nu er der et alternativ i ISAE 3000 GDPR med begrænset sikkerhed.

Hvad er forskellen, når man som dataansvarlig skal vælge en ISAE 3000 GDPR Høj eller en ISAE 3000 GDPR Begrænset? Svaret er ikke så enkelt. Der er ingen styresignaler fra hhv. FSR eller Datatilsynet, udover at når der er tale om en ’simpel og begrænset mængde af personoplysninger’, så kan en erklæring med begrænset sikkerhed benyttes. Eller når dataansvarlig i forvejen benytter sig af tilsyn på anden vis, hvor en erklæring med begrænset sikkerhed måske benyttes som en led i dette tilsyn, så kan man undgå en erklæring med høj grad af sikkerhed. Det er dataansvarlig, der afgør det, men ofte er det svært.

Vi deltager i forvejen i en del dialoger mellem dataansvarlig og databehandler om tilrettelæggelsen af tilsyn og omfang for revisorerklæringer, så dialogen mellem dataansvarlig og databehandler, ift. at opnå enighed om den ene erklæring fremfor den anden, deltager vi gerne i.