Revisor som databehandler

Faglig nyhedRevisor vil i nogle tilfælde være databehandler i forhold til klientdata, men ikke ved erklæringsopgaver. Hertil benytter revisor sig ofte af eksterne serviceleverandører til behandling og opbevaring af revisors indsamlede persondata. Dette er temaet i denne nyhed.

Om revisorRevision

I vores nyhed fra den 21. september 2017 fremgik det, at du i mange tilfælde vil behandle personoplysninger på vegne af din kunde.

Det betyder, at du er databehandler og skal følge en række krav i persondataforordningen. Det gør sig eksempelvis gældende, når du opstiller regnskab og udarbejder selvangivelse eller giver anden skatterådgivning. Det vil også være tilfældet, når du står for lønadministration.

Erklæringsopgaver indebærer ikke databehandling i persondataforordningens forstand og gør dig således ikke til databehandler med dertil hørende krav.

Hvis du selv anvender eksterne services til at behandle og/eller lagre dine indsamlede persondata, skal du sikre dig, at serviceleverandøren lever op til kravene som databehandler. Disse krav gælder også, når du selv er databehandler i forhold til din kunde.

I vores vejlednings bilag 3 fremgår de nærmere krav til den såkaldte databehandleraftale, som du skal indgå med dine kunder, når det er dig, der er databehandler, og med din eksterne serviceleverandør, når det er dine indsamlede persondata, som du overlader til behandling.

En databehandleraftale skal, jf. vejledningen, indeholde oplysninger om:

  • Formål og varighed
  • Hvilke kategorier af data der behandles
  • Kategorier af registrerede
  • Organisatorisk sikkerhed – hvem får adgang og hvorfor?
  • Krav om fortrolighed
  • Den dataansvarliges instruktionsbeføjelse
  • Krav til sikkerhed
  • Beredskab og notifikation ved sikkerhedsbrist
  • Dokumentation for overholdelse af forpligtelserne som databehandler
  • Sletning eller overlevering af data ved ophør.

Når du er databehandler, skal dine aftalevilkår med kunderne indeholde oplysninger herom.

Når du outsourcer, skal din revisionsvirksomhed sikre sig, at den eksterne databehandler overholder den indgåede databehandleraftale.

En metode hertil kan være at indhente en årlig revisionserklæring. FSR – danske revisorer har udarbejdet en sådan, som kan anvendes, eller som der kan søges inspiration i.

Når du selv er databehandler, er det næppe påkrævet, at du indhenter en revisorerklæring om dine forhold. Ved outsourcing vil større serviceleverandører ofte have en revisorerklæring, som du kan henholde dig til, mens principperne i erklæringen kan hjælpe dig til at stille de rigtige spørgsmål, når der ikke foreligger en revisorerklæring.

Ved outsourcing skal du som dataansvarlig under alle omstændigheder vurdere, om databehandleren har etableret passende tekniske og organisatoriske foranstaltninger, som imødegår de risici, som databehandleren vurderer, der er ved at behandle de pågældende persondata. Der foretages løbende - og mindst en gang årligt – vurdering af, hvorvidt risikovurderingen er opdateret, og om de tekniske og organisatoriske foranstaltninger er afpasset hermed.

Herunder skal du også være opmærksom på, om databehandlingen foretages uden for EU, og om dette i givet fald er ok, jf. nærmere herom i vejledningen. Her skal du nok særligt være opmærksom i tilfælde af, at du benytter dig af cloud-baserede services.