GDPR og attestering: Vi afgiver årligt rigtigt mange erklæringer om alt muligt. Alt er centreret omkring processer vedrørende brugen af it og om data. Siden databeskyttelsesforordningen blev endeligt implementeret i maj 2018, er der opstået et øget behov for, at virksomheder kan vise deres omverden (kunder, myndigheder, mulige kunder etc.) at de lever op til kravene. I forordningen er der levnet mulighed for, at der etableres en art certificering nationalt eller på EU-basis. Men indtil dette i givet fald sker, er eneste mulighed en revisorerklæring efter ISAE 3000.
I fremtiden vil vi nok se forskellige bud på, hvordan man viser, at ”man har styr på det”. Forhåbentlig bliver det en ordning, der går på tværs af EU-landene, og forhåbentlig bliver det med en vis underligger i forhold til de reelle krav. Kravene kan jo være mange og meget forskellige; afhængigt af, om en organisation udbyder applikationsdrift af et system, hvori der er persondata, eller om der er tale om en konsulentvirksomhed, der behandler persondata for fx en kommune, it-drift eller andet. Derfor er der heller ingen facitliste for, hvordan man kommer i mål, for det hele er – jf. GDPR – baseret på risici, og hvordan virksomheden imødegår disse risici.
En ISO 27001-certificering betyder ikke, at organisationen har imødekommet GDPR-krav. En ISAE 3402-revisorerklæring gør heller ikke. At en virksomhed benytter en underleverandør (fx it-hosting), der er ”GDPR-klar” i form af fx ISAE 3000 gør ikke, at organisationen er væsentligt tættere på selv at kunne fremvise overensstemmelse. Ja, det lyder måske firkantet og lidt voldsomt, men lige i disse tilfælde er der visse formelle krav, som skal overholdes.
Som nævnt er en ISAE 3000-revisorerklæring pt. den eneste mulighed for reelt at få bevis på, om en virksomhed (eller virksomhedens leverance) lever op til forpligtelser som databehandler. Der er tale om en revisorerklæring og ikke en certificering, en blåstempling eller revisor-godkendelse. Måske lyder det lidt som det samme, men der er en afgørende forskel.
I øvrigt kan en ISAE 3000-erklæring kun afgives af en godkendt revisor (registreret eller statsautoriseret). Vi ser i øjeblikket, at en del virksomheder forsøger sig selv med at skrive en sådan erklæring, og den holder på alle måder ikke, så vær opmærksom på, hvem der er ”afsender” af disse erklæringer.
Hvis du vil vide mere om ISAE 3000-erklæringer omkring efterlevelse af GDPR, er du altid velkommen til at kontakte os.
