Ny ISAE 3000-erklæring til kontrol med databehandlere

Datatilsynet har i samarbejde med FSR – danske revisorer udarbejdet en revisorerklæring, som skal bidrage med at lette den dataansvarliges tilsyn med sine databehandlere.

Dataansvarlige forpligtet til at føre tilsyn med databehandlere

Organisationer, der har overladt behandling af personoplysninger til eksterne databehandlere, skal, udover at indgå gyldige databehandleraftaler, også føre tilsyn med sine databehandleres overholdelse af aftalen.

Tilsynsføringen er med til at sikre, at databehandleren fortsat lever op til kravene for lovlig behandling i Databeskyttelsesforordningen.

Mere gennemsigtighed med ny ISAE 3000-erklæring

Det kan være svært for en dataansvarlig at gennemskue, hvordan behandlingen foregår hos databehandlerne. Den nye revisorerklæring er med til at give sikkerhed for, at de procedurer og regler, der følger af den underliggende databehandleraftale, faktisk overholdes. På den måde kan det fornødne tilsyn nemmere gennemføres.

Erklæringen kommer også til at lette Datatilsynets arbejde, når det skal kontrolleres, om den dataansvarlige har ført et tilfredsstillende tilsyn med sine databehandlere.

Erklæringen hedder formelt "Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]". Erklæringen er udviklet af Cybersikkerhedsudvalget under FSR – danske revisorer og bygger på Datatilsynets skabelon til databehandleraftaler. Datatilsynet har bidraget med bemærkninger til udformning og indhold. Erklæringen er ikke udtryk for et minimumskrav, men kan bruges som inspiration, og en dataansvarlig skal tilpasse den ud fra de konkrete situationer.