Hvad ISAE 3000 Er Og Hvordan Det Kan Hjælpe Dit GDPR-Arbejde

Emilie Mongstad Grenth
By: Emilie Mongstad Grenth GDPR | 26 april

I dag bruger de fleste organisationer tjenester fra eksterne udbydere til at behandle data. Når personlig data behandles, så skal organisationer overholde GDPR, og det er her en ISAE 3000-erklæring er rigtig nyttig. Erklæringen bekræfter, at data holdes fortrolig og sikker under behandling, samtidigt med at dataene altid er tilgængelig. Læs videre, for at se hvorfor ISAE 3000-erklæringer er gode til at opbygge tillid og troværdighed mellem organisationer. 

Her kan du læse om: 

Hvad er en ISAE 3000? 

Du tænker sikkert "Hvad er ISAE 3000?". 

Den formelle forklaring er, at det er er erklæring til at sikre ikke-finansielle oplysninger, som er udstedt af den globale organisation International Federation of Accountants (IFAC). Erklæringen er en intern kontrolerklæring, som fokuserer på kontroller af enkelte serviceudbydere, der er relevante i forhold til sikkerhed, tilgængelighed, behandlingsintegritet og fortrolighed.

En mere simpel forklaring er, at det er et godkendelsesstempel til din organisation, som siger, at du og de systemer du bruger behandler data korrekt og i overensstemmelse med GDPR. 

ISAE 3000 har to forskellige typer af erklæringer:

Type 1-erklæringen

Også kaldt for tidspunkts-erklæringen, beviser at din organisation har de korrekte kontroller og procedurer. En revisor rapporterer derefter på, at de kontroller du har, passer til driften af din organisation.

Type 2-erklæringen
Periode-erklæringen, som den også hedder er, hvor en revisor kontrollerer, at din organisation også følger procedurerne og kontrollerne fra tidspunkt-erklæringen. Organisationer starter med en tidspunkts-erklæring, og får derefter en periode-erklæringer. 

Et eksempel på en kontrol kunne være sikker afskaffelse af data. Kontrollen ville her beskrive virksomhedens rutiner for afskaffelse af data. Hvordan de er nødt til at kunne give ejeren fuld kontrol over sin data. Hvordan gammelt data slettes, hvordan det ikke er muligt at genskabe det efterfølgende, samt sletningen eller ødelæggelsen af fysiske versioner. Måske vælger din virksomhed at outsource denne opgave? Så er det vigtigt at vide, at datasletningen sker i overensstemmelse med GDPR: Hvis virksomheden du outsourcer til, har en ISAE 3000-erklæring, så vil denne garantere at GDPR overholdes i processen, og at de har effektive kontroller.

Hvem skal bruge en ISAE 3000-erklæring? 

Du tænker sikkert "Hvornår skal jeg have en ISAE 3000-erklæring?" og "hvorfor få sådan en type erklæring?". Du bør overveje af få en ISAE 3000, hvis din organisation er en leverandør, og andre organisationer outsourcer signifikante opgaver til dig, hvor jeres processer skal overholde databehandlingsloven. Organisationer ønsker, at virksomhederne de outsourcer til, har de rette driftsprocedurer, logning, backups og mere, der fungerer. En ISAE 3000-erklæring er en garanti for andre organisationer, om at din organisation har effektive sikkerhedsforanstaltninger på plads. 

ISAE 3000 kan være det rette valg til virksomheder, der udbyder outsourcede tjenester såsom: 

  • Kapitalforvaltere 

  • Udbydere af pensionstjenester 

  • SaaS-udbydere 

  • Udbydere af Infrastructure as a service 

  • Udbydere af Platform as a service 

  • Datacenterudbydere 

  • Udbydere af cloud hosting 

Hvem udsteder en ISAE 3000-erklæring? 

ISAE 3000-erklæringen udarbejdes gennem en ekstern revision. Revisionen udføres af en tredjepart, som er et professionelt revisionsfirma, der sørger for at alle procedurer overholder GDPR. Dette er en god ting, da det betyder at det ikke er selve firmaet, som organisationen køber tjenester/ydelser fra, som udarbejder erklæringen. Tredjepartsudførelsen er en sikkerhed og højner erklæringens troværdighed. Grunden til, at man bør sikre sig, at ens ydelser og systemer lever op til disse standarder, er for at vurdere om ens virksomhed lever op til ansvaret som databehandler. 

Billede af Risiko-analyse skabelon

Fordele ved at have en ISAE 3000-erklæring 

Hvis en organisation har en ISAE 3000-erklæring, giver de udtryk for at organisationen behandler data med integritet og fortrolighed. Den data de behandler, bliver dokumenteret, så de kan opfange potentielle risici. At kunne vise, at din virksomhed håndterer personlige data i overensstemmelse med GDPR, gennem en tredjepart er også en klar fordel. Det er rigtig godt for kunder og giver dem garanti for, at de systemer og ydelser de bruger har gode sikkerhedsstandarder, vurderer risici i overensstemmelse hermed, samt fremragende kvalitetskontrol. 

Tillid: 

Når du indgår en aftale med en virksomhed, som har en ISAE 3000-erklæring, så er jeres forhold bygget på tillid, for du ved at de har en tredjepart der fører tilsyn med dem. 

Troværdighed:  

Der er en ekstern revision der reviderer, så det er ikke virksomheden selv der udarbejder erklæringen. Dette gør erklæringen troværdig. Erklæringen indeholder alle oplysninger du skal bruge, for at forstå hvordan dine data behandles. Der vil være en præcis beskrivelse af, hvordan dataene behandles indenfor retningslinjerne, og med hvilket formål, hvilket alt sammen er dokumenteret af en kvalificeret tredjepart. 

Besked om brud:  

Når man arbejder med data, vil der være risiko for databrud. Der kan være situationer, hvor dine data er tilgængelige for folk, som ikke burde have adgang til dem. Når brud som dette sker, skal en virksomhed følge et sæt retningslinjer for at rette op på det og få styr på dataet. En ISAE 3000-erklæring garanterer dette, for man kan ikke få rapporten, hvis ikke man har et sæt procedurer, som regelmæssigt kontrolleres.

Standarden er sat:  

Alle virksomheder og organisationer skal følge de samme standarder, men det betyder ikke at alle gør det. Med en ISAE 3000-erklæring ved man, at der er en tredjepartsrevision, som sørger for at de følger en standard. Man ved også, hvis der sker ændringer i behandlingsaktiviteter, da dette bliver meldt ud til kunderne. Man vil altså altid være opdateret omkring ændringer, og man vil altid vide, hvad der foregår, fordi ISAE'en giver gennemsigtighed i kontrollen og behandlingen. 

Overvejelser om en ISAE 3402-erklæring eller ISO 27001-certificering 

ISAE 3000 er ikke den eneste måde at vise, at man overholder GDPR. Måske skal du finde ud af, om du vil have en ISO-certificering, eller om du vil have en revisionserklæring, og hvilken slags revisionserklæring. Selvom ISAE 3000 er den mest GDPR-specifikke erklæring, så overvejer organisationer også ISAE 3402-erklæringen og ISO 27001-certificeringen. 

ISAE 3402-erklæringen

Denne erklæring rapporterer om processer og fysiske betingelser, sikring af at servernes holdes online, at der er backups, samt procedurer for backups, logning, strøm og mere. I forhold til ISAE 3000, så er ISAE 3402 fokuseret på finansielle transaktioner, sikring af daglig drift og at leveringer indenfor IT udføres korrekt. 

ISO 27001-certificering

Er en standard til at sikre værdifuldt og personligt data, for igen at skabe stærk informationssikkerhed. ISO 27001-certificeringen har flere krav til dokumentation og daglig drift, end revisionserklæringen egentlig behøver. Ofte går større organisationer efter en fuld certificering. 

 

Jeg ved det kan være meget på en gang, med alle de mange slags revisioner og erklæringer, men hvis du vil gå mere i dybden med dem, så kan du tage et kig på CyberPilots omfattende guide om hvad ISO 27001 og ISAE 3402 er. 

ISAE 3000-erklæringen giver sikkerhed

ISAE 3000-erklæringen giver dig og andre en sikkerhed for, at data behandles korrekt og at GDPR overholdes. Der er faste rutiner for brud. Erklæringen er upartisk, eftersom at den udarbejdes af en tredjepart i form af en ekstern revisor. Hvis du ønsker at outsource visse opgaver, eller er en del af en organisation, som andre outsourcer til, så er ISAE et godkendelsesstempel, som du bør overveje.