Tema: Ny erklæring fra revisor giver ro i maven ved outsourcing af data

Digital SignaturNår man outsourcer data til andre, kan man som virksomhed sikre sig ved at bede om en ISAE 3000 erklæring efter den nye standard fra FSR – danske revisorers Cybersikkerhedsudvalg.

Foto/Daniel Hjorth

Jess Kjær Mogensen er formand for Cybersikkerhedsudvalget hos FSR – danske revisorer og partner i PwC. Cybersikkerhedsudvalget understøtter og driver foreningens indsats på it, cybersikkerhed og persondataområdet.

Cybersikkerhedsudvalget har udviklet en særlig ISAE 3000 erklæring vedrørende persondata, men hvad kan medlemmerne af foreningen bruge den til? 
“Cybersikkerhedsudvalget har nedsat en arbejdsgruppe. Gruppen har gået persondataforordningen igennem, og resultatet er blevet et forslag til en ny type ISAE 3000 erklæring. Erklæringen vedrører data-behandlere og outsourcere. En virksomhed, der er dataansvarlig, kan bruge erklæringen fra en virksomhed, som er databehandler, som et udtryk for, at datahåndteringen er i overensstemmelse med reglerne. Nogle gange skal vores medlemmer modtage en erklæring, og i andre tilfælde skal vores medlemmer afgive en erklæring. Den nye ISAE 3000 erklæring er afstemt, så den giver den balance, der skal til, uanset på hvilken side af bordet vores kunde er,” forklarer Jess Kjær Mogensen. 

Hvad kan jeg bruge erklæringen til, hvis jeg er en serviceprovider eller en virksomhed, der outsources databehandling til? 
“En erklæring er en effektiv måde at vise, at man lever op til aftalen med kunden. Hvis en serviceprovider har fået en erklæring, kan kunderne bruge den. Alternativet er jo, at serviceprovideren måske skulle have besøg af hovedparten af sine kunder, der enkeltvis skal kontrollere sikkerheden og gennemføre sin egen audit. Når kunden har fået en erklæring og i øvrigt løbende følger op på outsourcingen, har kunden gjort, hvad man med rimelighed kan forvente af en dataansvarlig, der outsourcer til en serviceprovider. Det vil altid være sådan, at selvom du som dataansvarlig har en erklæring om en serviceproviders databehandling, vil det stadig være dig, der er dataansvarlig. Men med erklæringen i hånden dokumenterer du, at du tager dit ansvar alvorligt,” forklarer Jess Kjær Mogensen. 

Der vil givet ske en løbende udvikling på persondataområdet, så hvordan sikrer I, at erklæringen bevarer sin relevans i fremtiden? 
“Vi har udviklet en erklæring, der rammer størstedelen af de behov, dataansvarlige har, og størstedelen af de krav, dataansvarlige med rimelighed kan forvente, at outsourceren lever op til. Erklæringen skal ajourføres, efterhånden som reglerne og domspraksis udvikler sig, men med den nye erklæring rammer vi hovedparten af behovene, som vi ser dem i dag.”

 

 

Hvilken proces skal jeg igennem, før jeg som databehandler beslutter mig for at få en erklæring, og før jeg vælger, om det skal være en type 1 eller type 2 erklæring? 
“Først skal du a lare hvilke services, der skal være omfattet af erklæringen. Du skal også afgrænse dig i forhold til, om du bruger underleverandører, så der er styr på, hvad erklæringen skal omhandle. Med en type 1 erklæring får du afdækket, om virksomhedens design i forhold til beskyttelse af persondata er korrekt, og du sikrer dig, at det også er korrekt implementeret på et givent tidspunkt. Med en type 2 erklæring får du også papir på, at du i en bestemt periode efterlever dine politikker. Det kan eksempelvis være, at man kontrollerer, at du i perioden har sikret dig, at det kun er muligt at blive ansat, hvis man har en ren straffeattest. Type 2 erklæringen siger derfor, at kontrol-aktiviteterne er udført i en periode,” forklarer Jess Kjær Mogensen. 

Har revisor de it-tekniske forudsætninger for at arbejde med den nye variant af ISAE 3000 erklæringen?
“De store revisionsfirmaer har typisk mange medarbejdere med teknisk baggrund, som eksempelvis ingeniører, der har ‘hands on’ erfaring. De kan se, hvad der foregår på skærmene, og om sikkerhedssystemer er sat rigtigt op. Andre revisionsvirksomheder kan også påtage sig en opgave med at afgive en ISAE 3000 erklæring vedrørende persondata, men man skal altid overveje sin egen kompetence, eller om man har brug for hjælp ved eksempelvis at tilkøbe eksterne kompetencer. Med den erklæring vi har lavet, er der muligheder for rigtig mange revisionsvirksomheder. Jeg synes, at man som revisor skal finde ud af, om man har et behov for efteruddannelse på området. Det handler også om, at man som revisor gør sig nogle forretningsmæssige overvejelser, om hvorvidt det er noget, revisionsvirksomheden skal beskæftige sig med,” fortæller Jess Kjær Mogensen. 

Hvis en virksomhed har brug for en mere begrænset erklæring om et bestemt emne, kan man måske nøjes med en ISRS 4000-rapport? Hvilke overvejelser skal man gøre sig i den forbindelse? 
“Revisor skal sætte sig i erklæringsmodtagerens sted og finde den erklæring, der er bedst egnet til kundens formål. Revisor skal ikke sætte kikkerten for det blinde øje, men sikre sig at kunden ikke vil lave ‘cherry-picking’; altså hvor der kun bliver kontrolleret nogle udvalgte områder, hvor der leves op til kravene, mens de andre forhold ikke bliver undersøgt. Der kan være ræson i at benytte en ISRS 4400-rapport, men det skal ske med proportionalitet.”

Hvordan ser du generelt revisorernes arbejde med persondatareglerne?
“Det er naturligt, at revisor tager emnet persondata op på et møde med sine kunder. Det kan man også gøre, selvom man som revisor ikke udsteder erklæringer. Det er værd for alle revisorer at have disse drøftelser med kunderne. Tag en dialog med kunderne, hvor man spørger kunden: “Hvad har I gjort for at forberede jer på at minimere risikoen for at ende ‘Non-compliance’ med reglerne?” Revisor har sin naturlige gang i virksomheden og er den naturlige samarbejdspartner, når det gælder om at drøfte overholdelse af persondatareglerne. Revisor kan i den forbindelse bruge forskellige værktøjer eksempelvis Privacy-kompasset fra Erhvervsstyrelsen,” siger Jess Kjær Mogensen.