FSR – danske revisorer og Datatilsynet lancerer ny GDPR-erklæring

En erklæring om persondata skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler om beskyttelse af personoplysninger.

Virksomhederne har fremover mulighed for at vælge mellem to forskellige grader af sikkerhed, når de efterspørger en GDPR-erklæring hos deres revisor:

• En GDPR-erklæring med høj grad af sikkerhed, som vi lancerede i 2019.
• En GDPR-erklæring med begrænset sikkerhed, som vi lancerer i dag.

Begge erklæringer kan udarbejdes som ”type 1”, som dækker design og implementering per et aftalt tidspunkt, eller ”type 2”, som dækker design, implementering og efterlevelse for en aftalt periode, fx et regnskabsår.

Erklæringerne lanceres i samarbejde med Datatilsynet. ”Kompleksiteten i behandlingen af personoplysninger og brugen af databehandlere kan variere meget. Revisorerklæringerne fra FSR – danske revisorer hjælper de dataansvarlige i forhold til kontrollen med deres databehandlere. Ved at tilbyde to forskellige revisorerklæringer kan virksomhederne i højere grad vælge det rette niveau i forhold til at føre tilsyn med de aktiviteter, som databehandleren udfører. Herved kan anvendelsen af GDPR-erklæringer forhåbentlig optimeres,” udtaler Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet.

Hvem bør vælge hvilken erklæring?

En virksomhed kan overveje at vælge den nye erklæring med begrænset sikkerhed, hvis den i persondata- sammenhæng ikke er risikofyldt eller kompleks, eller hvis det tilsyn, som den dataansvarlige i forvejen fører med databehandleren, er omfattende. En erklæring med begrænset sikkerhed kan derfor eventuelt være tilstrækkeligt til at dokumentere den nødvendige behandlingssikkerhed i eksempelvis følgende situationer:

• Simpel behandling af begrænset mængde personoplysninger; eksempelvis hvor en privat virksomhed får oplysninger om enkelte borgere i en kommune til brug for aktiviteter med disse, eksempelvis behandling, aktivering, støtte etc.
• Der er primært tale om opbevaring af almindelige personoplysninger, som herefter kan tilgås og udtrækkes af den dataansvarlige, eksempelvis i oversigter, statistikker og lignende.
• Dataansvarlige gennemfører omfattende tilsyn, men alene på strikprøvebasis – her virker erklæringen som dokumentation for behandlingssikkerheden hos de databehandlere, der ikke er udvalgt, samtidig med at den kan danne grundlag for valg af stikprøver i efterfølgende perioder.

Forskellen mellem de to erklæringer

Forskellen mellem de to forskellige grader af sikkerhed i revisorerklæringen – høj eller begrænset sikkerhed – er vigtig at forstå for både revisor og kunderne.

”Når revisor afgiver en GDPR-erklæring med begrænset sikkerhed, følger revisor stort set det samme arbejdsprogram, som når revisor afgiver en erklæring med høj grad af sikkerhed. Forskellen består i, at revisor ikke efterprøver og tester de oplysninger, revisor modtager i arbejdet i samme omfang, men primært baserer sig på forespørgsler og derfor udtalelser fra virksomheden. Det skal dog også ses i lyset af revisors generelle viden om virksomheden og de oplysninger, revisor modtager fra andre arbejdshandlinger i arbejdet. Oplysningerne krydstjekkes altså. Men det betyder også, at den dataansvarlige selv skal gøre sig overvejelser om eventuelle behov for selv at udføre noget supplerende ud over, hvad revisor udfører og afgiver erklæring om. Det kunne fx være forskellige former for opfølgning på databehandling ved driftsmøder med databehandleren,” udtaler Thomas Krath Jørgensen, fagchef i FSR – danske revisorer.

Erklæringen hjælper de dataansvarlige

Det er den dataansvarliges ansvar at sikre, at personoplysninger bliver behandlet korrekt, selvom behandling af oplysningerne er overladt til andre. Det er en vanskelig opgave for den dataansvarlige at løfte. En GDPR-erklæring kan derfor hjælpe, da den giver sikkerhed for, at procedurer og regler er overholdt som aftalt mellem parterne.

Frederik Viksøe Siegumfeldt tilføjer: ”En revisorerklæring er ikke i sig selv nødvendig for at kunne leve op til databeskyttelsesforordningen. Men vælger man at gøre brug af erklæringerne, er man sikker på, at relevante områder bliver belyst, og at man får foretaget en uvildig kontrol af sikkerhedsniveauet. Sådanne erklæringer vil kunne udgøre et rigtig godt grundlag i en eventuel dialog med Datatilsynet om blandt andet gennemførelsen af tilsyn med databehandlere.”

Om erklæringen

Erklæringen har fået navnet ”Uafhængig revisors ISAE 3000-erklæring med begrænset sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]” og er udviklet af foreningens Cybersikkerhedsudvalg i samarbejde med Datatilsynet, som er kommet med bemærkninger til erklæringens udformning og indhold.

Erklæringen er ikke et udtryk for minimumskrav og indeholder eksempler på kontrolaktiviteter og arbejdshandlinger. Disse er alene til inspiration og bør altid tilpasses til den konkrete risikovurdering, de foranstaltninger, der i øvrigt måtte være aftalt parterne imellem, og under hensyn til revisors professionelle vurdering.

Erklæringen er udarbejdet til brug for de godkendte revisorer og må ikke anvendes af andre. Download GDPR-erklæringen med begrænset sikkerhed her.

Tilgå GDPR-erklæringen med høj grad af sikkerhed her.