Hvad er en ISAE 3000-erklæring, og hvorfor bør du få den?

Sidder du i en IT-virksomhed, der er databehandler?

‍

Så oplever du nok, at kunderne ofte spørger efter dokumentation på jeres GDPR-compliance.

‍

Dén dokumentation kan du sikre via en ISAE 3000-erklæring.

‍

‍Med erklæringen kan du også spare en masse tid, da du undgår at skulle svare på spørgsmål fra hver enkelt kunde.

‍

Det er vist det, man kalder for en vaskeægte win-win-situation.

‍

Derfor vil jeg i dette blogindlæg gøre dig klogere på, hvad en ISAE 3000-erklæring er for en størrelse, og om den kan være en fordel for din virksomhed at arbejde hen imod.

‍

Hvad er en ISAE 3000-erklæring?

Generelt kan du bruge ISAE-erklæringer til at dokumentere din virksomheds processer, kontroller eller rapportering. Bl.a. indenfor områder som compliance, bæredygtighed, GDPR, IT-sikkerhed og samfundsansvar.

‍

Det er altså en bred ramme for at skabe tillid til information, som ikke nødvendigvis er finansielle regnskaber.

‍

En ISAE 3000-erklæring (International Standard on Assurance Engagements 3000) er en erklæring om, hvorvidt en virksomhed har overholdt en række fastsatte krav eller principper indenfor informationssikkerhed.

‍

I Danmark har FSR – danske revisorer i samarbejde med Datatilsynet lanceret en GDPR-revisorerklæring - ISAE 3000 – til brug for leverandører, der er databehandlere.

‍

Det er altså FSR’s GDPR-revisorerklæring, jeg henviser til, når jeg taler om ISAE 3000 i dette blogindlæg.

‍

Hvorfor opstod behovet for en revisorerklæring?

Det er ”informationssikkerhed og foranstaltninger i henhold til databehandleraftale med en dataansvarlig,” der er i fokus for ISAE 3000’eren.

Da erklæringen blev lanceret i 2019, udtalte daværende tilsynschef i Datatilsynet, Jesper Husmer Vang, at erklæringen:

‍

”… vil kunne hjælpe de dataansvarlige i forhold til at føre det fornødne tilsyn med deres databehandlere. I og med at erklæringen har det rette fokus, vil den også kunne lette Datatilsynets håndhævelse, når vi kontrollerer, om en dataansvarlig har ført tilsyn med sine databehandlere.”

‍

Med andre ord var der et hidtil udækket behov for en revisionsstandard.

‍

Lige siden revisorerklæringen så dagens lys, har dataansvarlige altså kunnet bruges den som led i GDPR-tilsyn med deres databehandlere. Den giver den dataansvarlige sikkerhed for, at deres databehandler lever op til de GDPR-krav, som de har forpligtet sig til i databehandleraftalen.  

Erklæringen dækker både procedurer for behandling af personoplysninger og niveauet af sikkerhed, der knytter sig til behandlingen.

‍

ISAE 3000-erklæringen skal hjælpe den dataansvarlige med at leve op til reglerne og sit ansvar om sikre, at personoplysninger bliver behandlet korrekt, selvom en anden part behandler oplysningerne.

Hvis databehandleren ikke har en ISAE 3000-erklæring, kan den bruges som rettesnor for de spørgsmål, den dataansvarlige sender til databehandleren i forbindelse med GDPR-tilsynet.

‍

Men som du nok har luret, undersøger og dokumenterer en ISAE 3000 ikke kun, om en virksomheds generelle sikkerhedsniveau lever op til de krav, som en kunde eller partner stiller.

‍

Den hjælper også virksomheden i sin rolle som databehandler at leve op til de krav, der fremgår af en databehandleraftale.

‍

For at kunne leve op til dé krav – og ikke mindst dokumentere det – er der en fordel for databehandleren i at bruge ISAE 3000’eren som et oplagt og anerkendt kvalitetsstempel.

‍

Og det gælder især for IT-virksomheder.‍

‍

Hvorfor er en ISAE 3000-erklæring særligt relevant for IT-virksomheder?

Hvis du arbejder i en IT-virksomhed, hvor I behandler personoplysninger på vegne af jeres kunder (og derfor er databehandler), har du nok oplevet, at jeres kunde (som den dataansvarlige) har spurgt efter en revisionserklæring fra jer. Typisk i forbindelse med kundens tilsyn af jer.

‍

Eller at de som minimum har bedt dig om at svare på en række spørgsmål om jeres GDPR-compliance og den indgåede databehandleraftale.

‍

Årsagen finder du i GDPR’s artikel 28, stk. 3, litra h.

‍

Her står der, at databehandleren (IT-virksomheden) skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene til databehandleraftalen, til rådighed for den dataansvarlige (kunden). Databehandleren skal også give mulighed for og bidrage til revisioner, såsom inspektioner.  

Hvis din virksomhed har fået den slags forespørgsler fra kunder, ved du sikkert også, hvor meget arbejde der kan være i at svare på dem enkeltvis fra gang til gang.

‍

Her kommer ISAE 3000-erklæringen ind i billedet:

‍

Ved blot at investere effektiv og målrettet tid til at få udarbejdet en erklæring - den samlede indsats afhænger selvfølgelig af, hvor moden din virksomhed er i forhold til erklæringens kontrolmål – ender du ud med et dokument, som du kan sende direkte til kunder.

‍

Så slipper du for at bruge tid på at svare på individuelle spørgsmål fra kunder.

‍

‍

ISAE 3000: Revisionserklæring eller egenkontrolrapport?

Du kan bruge ISAE 3000’eren til at vise fx kunder, myndigheder og samarbejdspartnere, at en uafhængig part (revisor) har gået din virksomheds arbejde efter i sømmene. Og at denne også har givet grønt lys til, at I lever op til GDPR-kravene i databehandleraftalen.

‍

I praksis skal du først aftale omfanget af ISAE 3000-erklæringen med revisoren.

‍

Dernæst skal du planlægge møder med revisoren, hvor vedkommende efterfølgende begynder at indsamle dokumentation, foretage interviews, gennemgå dokumenter, lave tests i form af stikprøver mv.

‍

Til slut udarbejder revisoren den endelige revisorerklæring med revisorens konklusion ud fra sine observationer.

I dét arbejde ligger en dybdegående kontrol af de enkelte kontrolmål.

‍

‍Både revisionen og selve ISAE 3000-erklæringen kan tage en stor bid af budgettet og bundlinjen, som kan blive disproportionalt for især små virksomheder. Fx fordi de kun har små budgetter at gøre godt med, eller fordi de i beskeden grad behandler personoplysninger ved levering af deres ydelse til kunder.

‍

Et alternativ til revisionserklæringen er at lave en egenkontrolrapport, som bygger på ISAE 3000.  

Med en egenkontrolrapport får du selvsagt ikke en revisorpåtegning med alle de fordele, der nu engang følger med.  

Til gengæld får du effektivt beskrevet og dokumenteret din virksomheds processer i tråd med ISAE 3000-kontrolmålene. Uden at skulle bruge tid og penge på samarbejdet med en revisor.

‍

‍Inden I starter ISAE 3000-processen, anbefaler vi, at din virksomhed som det første tager stilling til, om I sigter mod en revisorerklæring eller en egenkontrolrapport.

‍

‍For det er fx ikke nok med en egenkontrolrapport, hvis din virksomhed i indgået databehandleraftale har en aftale med jeres kunde om, at I skal levere en revisionserklæring til brug for kundens tilsyn med jer.

‍

Derfor er det vigtigt, at databehandleraftalen klart angiver, at din virksomhed udarbejder en egenkontrolrapport, der bygger på ISAE 3000-kontrolmålene.

‍

‍Hvis din virksomhed bruger Datatilsynets standarddatabehandleraftale, skal du angive dette i bilag C, punkt 7.

‍

Hvad enten I gør brug af en revisor, eller det er jer selv, der kaster jer over ISAE 3000-arbejdet, følger processen overordnet de samme trin og kontrolmål

‍

Hvis du er nysgerrig på, hvordan processen mod en ISAE 3000-erklæring ser ud, kan du få overblikket i vores gratis ISAE 3000-guide lige her.

‍