-
Cookies
Her kan du finde information om, hvordan Grant Thornton håndterer cookies.
-
Databehandling
Læs mere om Grant Thorntons rolle som hhv. databehandler og dataansvarlig. Find også en oversigt over vores databehandlere og underdatabehandlere.
-
Gennemsigtighedsrapport
Læs Grant Thorntons gennemsigtighedsrapport 2022.
-
Privatlivspolitik
Her finder du information om, hvordan Grant Thornton behandler dine private data.
-
Whistleblowerpolitik
Læs Grant Thorntons whistleblowerpolitik her.
-
Bogføring
Vi kan hjælpe jer med jeres bogføringsbehov uanset om det er manuelt eller digitalt. Derudover kan du også outsource hele din bogføring til os, så sørger vi for at dine regnskabstal altid er opdaterede.
-
CFO Service
Grant Thornton tilbyder interim ressourcer, outsourcing og bogføring som fleksibel støtte til økonomifunktionen. Løsningerne dækker alt fra spidsbelastninger og midlertidig ressourcedækning til digitalisering, procesoptimering og styrket finansiel rapportering. Med CFO Service får virksomheder adgang til eksperter og kapacitet på alle niveauer – fra controllere og bogholdere til økonomichefer.
-
Corporate Finance
Vi tilbyder strategisk og finansiel rådgivning omkring køb og salg af virksomheder, børsnoteringer og kapitalrejsninger med fokus på små og mellemstore virksomheder.
-
Digitalisering
Vi kan hjælpe dig med at digitalisere dine administrative arbejdsgange og give dine medarbejdere en lettere hverdag. Læs mere om vores ydelser her.
-
ESG og Bæredygtighed
ESG og Bæredygtighed
-
IT-revision & Rådgivning
Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402 eller ISAE 3000 erklæringer, eller SOC1, SOC2 , ligesom vi arbejder med rådgivning for vores kunder, der ønsker at implementere disse standarder.
-
Moms & Afgifter
Grant Thornton kan hjælpe dig med at få overblik over reglerne for momsen og de afgifter, der skal betales i din branche. Vi har styr på reglerne og kan sætte det korrekt op i jeres økonomisystem.
-
Revision & Regnskab
Vi håndterer både små og store regnskabs- og revisionsopgaver og er optaget af at sikre, at du får det bedste overblik over din økonomiske situation.
-
Skat
Vi giver dig skatterådgivning, der er til at forstå og sørger for at skatten ikke bliver højere, end den skal være. Derudover kan vi rådgive dig om de skattetekniske konsekvenser, som f.eks. ejerskifte, generationsskifte eller investeringer kan give dig og din virksomhed.
-
Transaction Advisory Services
Transaction Advisory Services
-
Økonomisk rådgivning
Grant Thornton har stor erfaring med økonomisk rådgivning og udvikling af virksomheder.
-
Construction
Læs mere om vores ydelser indenfor Construction
-
Energy & Resources
Læs mere om vores ydelser indenfor Energy & Resources
-
Real Estate
Læs mere om vores rådgivning og ydelser inden for Real Estate
-
Shipping & Transportation
Læs mere om vores ydelser og rådgivning inden for Shipping & Transportation
-
Teknologi, kommunikation, medier og underholdning
Læs mere om vores ydelser indenfor teknologi, kommunikation, medier og underholdning.
Hvad er forskellen på en ISAE 3402 og en ISAE 3000 GDPR-erklæring?
TIP! Få det hurtige svar i bunden af artiklen >
ISAE 3000 GDPR handler om beskyttelse af persondata
En ISAE 3000 GDPR-erklæring handler om hvorvidt GDPR bliver overholdt. Mere præcist, om en virksomhed i sin rolle som databehandler, efterlever hvad virksomheden skal. Overfor sine kunder.
Sådan er det oftest. Men erklæringens omfang kan også være en eller flere af virksomheds ydelser – eller både rollen som databehandler og dataansvarlig. Men typisk er der tale om, at en ISAE 3000 GDPR-erklæring omhandler en virksomheds efterlevelse af sin rolle som databehandler.
En ISAE 3000 erklæring kan også indeholde andet end GDPR (hvorfor vi hele tiden kalder den ISAE 3000 GDPR), for den kan også omhandle it-sikkerhed eller andet. Dette kommer vi kort til sidst i denne artikel.
ISAE 3402 handler om vigtig driftssituation
En ISAE 3402 erklæring er ret beset, og meget revisornørdet, en erklæring, der skal understøtte eller omhandle en situation der har at gøre med en finansiel transaktion eller rapportering.
Men ofte omhandler erklæringen noget helt andet, nemlig om at en driftsleverance inden for it sker betryggende – baseret på et anerkendt framework som oftest er kontrolmål fra ISO 27001 (ISO 27001, annex A, hvilket svarer til ISO 27002).
Hvornår skal du vælge det ene og hvornår det andet?
Ofte ser vi, at kommuner, stat, og større virksomheder efterspørger en revisorerklæring fra et udvalg af deres leverandører. Dette kan være i en kontrakt eller i en databehandleraftale, og til tider er der lidt forskel på om der spørges efter en ISAE 3402 eller en ISAE 3000 GDPR-erklæring. Det kan der være god mening i, eller også er der nogen der har misforstået.
Vi plejer at simplificere det ved at sige:
En ISAE 3402 erklæring (eller ISAE 3000, for at være helt teoretisk korrekt) bør efterspørges, hvis man som kunde har outsourcet en væsentlig aktivitet, hvor man har brug for at få verificeret at der er processer til at understøtte en vigtig/kritisk driftssituation.
Altså, der må helst ikke være nedetid, sletter vi nogle filer, skal de kunne komme tilbage igen, procedurer om drift, logning, backup, nødstrøm, ændringshåndtering, log osv., skal fungere.
For en ISAE 3000 GDPR-erklæring, plejer vi at simplificere behovet ved at sige:
En ISAE 3000 GDPR-erklæring bør efterspørges, hvis der er tale om at få verificeret, at persondata beskyttes tilstrækkeligt.
Er der sammenfald mellem disse to erklæringer?
Ja. Emner som adgangsbeskyttelse, logføringer, kryptering, er mere eller mindre det samme. Men udgangspunktet er forskelligt. En ISAE 3402 erklæring tager udgangspunkt i processer (oftest til og med operativsystem), og en ISAE 3000 GDPR-erklæring, tager udgangspunkt i data.
Er det så dermed forkert at bede om en ISAE 3402 erklæring i en databehandleraftale?
Udgangspunktet vil nok være, at en ISAE 3000 GDPR-erklæring vil være det mest indlysende at have anført i en databehandleraftale.
Vil det give mening at bede om en ISAE 3000 GDPR-erklæring fra vores hostingleverandør?
Ja, det kunne det sagtens, og det skulle være som supplement til en ISAE 3402 erklæring, idet hostingleverandøren alt andet lige (som oftest) tager sig af en væsentlig og kritisk del, og samtidig dermed også beskyttelse af persondata.
Hvad så med diverse online HR-systemer, tidsregistreringssystemer osv.?
Det er lidt en afvejning af, om der er mange persondata i systemet, om disse er følsomme eller ej, om den leverede ydelse er forretningskritisk eller ej. Men oftest vil en ISAE 3000 GDPR-erklæring være mest relevant.
Husk, at det ikke er lovkrav at have en revisorerklæring. I hvert fald i langt de fleste brancher, udover den finansielle branche, og også anført i diverse SKI rammeaftaler, standarder til databehandleraftaler mv. Det er efterhånden også kutyme i mange brancher at bruge disse erklæringer som tilsyn med leverancer fra underleverandører.
Som lovet i starten af artikelen, vender vi tilbage til at en ISAE 3000 erklæring kan også indeholde meget andet end GDPR. Det kan være aftalte kontroller som er aftalt mellem to parter, og hvor revisor erklærer sig objektivt om dette, det kan være cybersecurity, generelle it-kontroller og meget andet. Men GDPR og databeskyttelsesloven fylder mest, når talen falder på ISAE 3000.
Læs mere detaljerede og uddybende beskrivelser af de to erklæringstyper her:
ISAE 3000 – ISAE 3402
Til skimmeren: De tre hurtige svar
|
-
Martin Brogaard Nielsen Martin Brogaard Nielsen, Partner i IT Risk Assurance & Advisory Service hos Grant Thornton.Se profil