Erklæring om persondata

Faglig nyhedNy revisorerklæring giver sikkerhed for, at databehandlere har styr på procedurer til beskyttelse af persondata.

RevisionOm revisor

Når den nye persondatabeskyttelsesforordning træder i kraft til maj 2018, kommer der øget fokus på beskyttelse af persondata. Det gælder særligt det ansvar, man har som virksomhed for, at persondata bliver beskyttet.

Men hvad gør man som dataansvarlig virksomhed, når man har overladt databehandling af eksempelvis kundernes eller de ansattes data til en ekstern databehandler? Som dataansvarlig har man ansvaret for at sikre persondata, selvom databehandlingen er overladt til andre. Det vil imidlertid være praktisk umuligt for den dataansvarlige at kontrollere, om hver af de databehandlere, man benytter sig af, har styr på kontroller og procedurer for sikring af persondata. Samtidig vil det naturligvis være upraktisk for virksomheder, der udfører databehandling, hvis den enkelte kunde skulle komme på fysisk besøg for at kontrollere, at procedurerne bliver overholdt.

Det er i den forbindelse, at en ny erklæring fra FSR - danske revisorer kommer ind i billedet. Erklæringen er beregnet til databehandlere, der ønsker at give deres kunder sikkerhed for, at de relevante procedurer og kontroller i forhold til persondataforordning og andre danske lovkrav i øvrigt er tilstrækkeligt beskrevet. Gennem erklæringen kan den dataansvarlige få sikkerhed for, at den databehandler, som man har outsourcet opgaverne til, har procedurer for overholdelse af reglerne om beskyttelse af personoplysninger.

Cybersikkerhedsudvalget under FSR – danske revisorer har udarbejdet skabelonen til erklæringen om databehandlere. Erklæringen har fået titlen ” Uafhængig revisors ISAE 3000-erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger”. Udvalget har endvidere udarbejdet en tilhørende vejledning samt et inspirationskatalog til databeskyttelsesforordningen vedrørende kontrolmål og scopingen i forhold til opgavens omstændigheder, herunder kompleksitet.

Erklæringen dækker bredt i forhold til kravene i persondataforordningen, og det er derfor vigtigt, at den tilpasses til de konkrete relevante standardprocedurer for databehandleren. Hvis man som dataansvarlig virksomhed har brug for at sikre sig, at også andre krav er overholdt, kan erklæringen suppleres alt afhængig af den dataansvarliges individuelle behov.

Erklæringen vil blive tilpasset, når lovkravene med de nationale bestemmelser vedtages.

Se erklæringen her  
Se vejledningen her  
Se inspirationskataloget her  

 

Kontakt

  • Lars Kiertzner

    Chefkonsulent, statsautoriseret revisor, ph.d.

    Tirsdag til torsdag
Hvad er kravene for behandling af persondata

Medlemsmøder

Deltag på medlemsmøderne, hvor temaet i år er kvalitetskontrol. Deltagelse er gratis og giver 2 OE-timer.

Læs mere om medlemsmøderne.