-
Cookies
Her kan du finde information om, hvordan Grant Thornton håndterer cookies.
-
Databehandling
Læs mere om Grant Thorntons rolle som hhv. databehandler og dataansvarlig. Find også en oversigt over vores databehandlere og underdatabehandlere.
-
Gennemsigtighedsrapport
Læs Grant Thorntons gennemsigtighedsrapport 2022.
-
Privatlivspolitik
Her finder du information om, hvordan Grant Thornton behandler dine private data.
-
Whistleblowerpolitik
Læs Grant Thorntons whistleblowerpolitik her.
-
Bogføring
Vi kan hjælpe jer med jeres bogføringsbehov uanset om det er manuelt eller digitalt. Derudover kan du også outsource hele din bogføring til os, så sørger vi for at dine regnskabstal altid er opdaterede.
-
CFO Service
Grant Thornton tilbyder interim ressourcer, outsourcing og bogføring som fleksibel støtte til økonomifunktionen. Løsningerne dækker alt fra spidsbelastninger og midlertidig ressourcedækning til digitalisering, procesoptimering og styrket finansiel rapportering. Med CFO Service får virksomheder adgang til eksperter og kapacitet på alle niveauer – fra controllere og bogholdere til økonomichefer.
-
Corporate Finance
Vi tilbyder strategisk og finansiel rådgivning omkring køb og salg af virksomheder, børsnoteringer og kapitalrejsninger med fokus på små og mellemstore virksomheder.
-
Digitalisering
Vi kan hjælpe dig med at digitalisere dine administrative arbejdsgange og give dine medarbejdere en lettere hverdag. Læs mere om vores ydelser her.
-
ESG og Bæredygtighed
ESG og Bæredygtighed
-
IT-revision & Rådgivning
Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder.
-
Moms & Afgifter
Grant Thornton kan hjælpe dig med at få overblik over reglerne for momsen og de afgifter, der skal betales i din branche. Vi har styr på reglerne og kan sætte det korrekt op i jeres økonomisystem.
-
Revision & Regnskab
Vi håndterer både små og store regnskabs- og revisionsopgaver og er optaget af at sikre, at du får det bedste overblik over din økonomiske situation.
-
Skat
Vi giver dig skatterådgivning, der er til at forstå og sørger for at skatten ikke bliver højere, end den skal være. Derudover kan vi rådgive dig om de skattetekniske konsekvenser, som f.eks. ejerskifte, generationsskifte eller investeringer kan give dig og din virksomhed.
-
Transaction Advisory Services
Transaction Advisory Services
-
Økonomisk rådgivning
Grant Thornton har stor erfaring med økonomisk rådgivning og udvikling af virksomheder.
-
Construction
Læs mere om vores ydelser indenfor Construction
-
Energy & Resources
Læs mere om vores ydelser indenfor Energy & Resources
-
Real Estate
Læs mere om vores rådgivning og ydelser inden for Real Estate
-
Shipping & Transportation
Læs mere om vores ydelser og rådgivning inden for Shipping & Transportation
-
Teknologi, kommunikation, medier og underholdning
Læs mere om vores ydelser indenfor teknologi, kommunikation, medier og underholdning.
ISAE 3000 GDPR erklæring – valg af sikkerhed: Høj og Begrænset (light)
Ligesom den ISAE 3000 GDPR-erklæring, som vi kender i dag, og som vi fremover vil omtale som ’ISAE 3000 GDPR Høj’, indeholder den nye erklæring de samme punkter og forhold, som vi kender i forvejen.
Den helt store forskel på de to erklæringsvarianter er dermed dybden for, hvordan revisor afklarer, hvorvidt databehandleren gør, som vedkommende fortæller, de gør. For revisorer er begreberne ’inspicerer’, ’forespørge’, genudføre kontrol’ kendte begreber, som fortæller hvilken handling revisor har foretaget for at afklare, hvorvidt virksomheden – i dette tilfælde: databehandleren – efterlever de enkelte revisionsmål.
Så når revisor beskriver, at vedkommende ’har forespurgt og inspiceret databehandlerens håndtering af overførsel af data til tredjelande’, betyder det, at revisor har forespurgt på alt relevant materiale (som i det her tilfælde kunne være risikoafvejning, fortegnelse, politikker om håndtering af data uden for tredjelande, databehandleraftaler med både kunder og leverandører, hjemmel for overførsel af data til tredjelande, kontrakter, tekniske beviser og meget andet), samt gennemgået og vurderet både hjemler, politikker og meget andet, for at konkludere om databehandleren gør det både lovligt og praktisk set: Om de gør det, de siger, de gør.
Er der tale om en erklæring, der dækker en periode, så tillægges det så til revisionshandlingen, om databehandleren har ’gjort hvad de siger, de gør’ over en periode, eksempelvis 12 måneder. Visse taler om dette som en type 2-erklæring, sådan som det er tilfældet for ISAE 3402-standarden, men begreberne ’type 1’ og ’type 2’ eksisterer ikke i ISAE 3000-standarden. Her hedder det ofte ’øjebliksbillede’ eller ’point in time’ samt ’periodeerklæring’.
Når revisor dermed både ’forespørger’, ’inspicerer’ og måske endda ’genudfører en kontrol’, er der tale om en erklæring med høj grad af sikkerhed. Det vil også stå anført i selve revisors erklæring, og i fremtiden sikkert også på forsiden af erklæringsrapporten, men det er altså sådan, man kan se forskellen indtil videre.
For erklæringer med begrænset sikkerhed, vil den altoverskyggende del være, at revisor i meget høj grad ’forespørger’, og kun i få tilfælde ’inspicerer’. Det betyder, at revisor vil spørge databehandleren; måske overordnet påse, at svaret giver mening, og modtage materialet til revisors dokument. Men det er i praksis så langt (eller kort?), som revisor vil gå. Naturligvis har revisor en pligt til at undersøge og vurdere, så hvis revisor har en fornemmelse af at blive fortalt en god historie, så skal revisor gå dybere og spørge mere ind.
Læs vores artikel om dataansvarliges brug af disse erklæringer, herunder dataansvarliges krav til databehandlere om at kunne præsentere disse erklæringer.
Så forskellen på de to erklæringer er altså helt væsentligt, at revisor vurderer databehandleren ud fra det helt samme kriterier. Men graden af, hvor langt revisor går for at opnå et bevis på databehandlerens påstande, er mindre for erklæringen med begrænset sikkerhed. Begge erklæringer ligner hinanden, bortset fra henvisningerne på hhv. forside, i afsnittet hvor revisor underskriver erklæringen, samt i afsnittet, hvor revisor viser, hvilket omfang erklæringen dækker, og hvor revisor beskriver dybden af sine arbejdshandlinger.
Læs mere om:
Det at gennemgå en proces om ISAE 3000 GDPR-erklæring her
Den nye erklæring her
Hvordan besluttes det, om ISAE 3000 skal være med høj eller begrænset sikkerhed?
Hvad er forskellen, når man som dataansvarlig skal vælge en ISAE 3000 GDPR Høj eller en ISAE 3000 GDPR Begrænset? Svaret er ikke så enkelt. Der er ingen styresignaler fra hhv. FSR eller Datatilsynet, udover at når der er tale om en ’simpel og begrænset mængde af personoplysninger’, så kan en erklæring med begrænset sikkerhed benyttes. Eller når dataansvarlig i forvejen benytter sig af tilsyn på anden vis, hvor en erklæring med begrænset sikkerhed måske benyttes som en led i dette tilsyn, så kan man undgå en erklæring med høj grad af sikkerhed. Det er dataansvarlig der afgør det, men ofte er det svært.
Vi deltager i forvejen i en del dialoger mellem dataansvarlig og databehandler om tilrettelæggelsen af tilsyn og omfang for revisorerklæringer, så dialogen mellem dataansvarlig og databehandler, ift. at opnå enighed om den ene erklæring fremfor den anden, deltager vi gerne i.
-
Martin Brogaard Nielsen Martin Brogaard Nielsen, Partner i IT Risk Assurance & Advisory Service hos Grant Thornton.Se profil