02. maj 2019
FSR – danske revisorer lancerer på baggrund af samarbejde med Datatilsynet ny erklæring om persondata
FSR – danske revisorer har i samarbejde med Datatilsynet udarbejdet en ny revisorerklæring, som giver sikkerhed for, at databehandlere lever op til kravene i GDPR, som de har forpligtet sig til i de indgåede databehandleraftaler.
Frem over er der hjælp at hente for de virksomheder, der har indgået eller ønsker at indgå en databehandleraftale med en ekstern databehandler. FSR – danske revisorer lancerer efter samarbejde med Datatilsynet en ny erklæring om persondata, der skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedure og regler for beskyttelse af personoplysninger.
Som reglerne er i dag, er det den dataansvarliges ansvar at sikre, at personoplysninger bliver behandlet korrekt, selvom behandling af oplysningerne er overladt til andre. Dette kan være en svær opgave for den dataansvarlige at løfte, men her hjælper den nye erklæring, der giver sikkerhed for, at procedurer og regler er overholdt som aftalt mellem parterne. Tilsynschef i Datatilsynet Jesper Husmer Vang udtaler: ”Revisions-erklæringen fra FSR – danske revisorer har det rette fokus, og vil kunne hjælpe de dataansvarlige i forhold til at føre det fornødne tilsyn med deres databehandlere. I og med at erklæringen har det rette fokus, vil den også kunne lette Datatilsynets håndhævelse, når vi kontrollerer, om en dataansvarlig har ført tilsyn med sine databehandlere.”
Erklæringen har fået navnet ”Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]”. Erklæringen er udviklet af Cybersikkerhedsudvalget under FSR – danske revisorer i tæt samarbejde med Datatilsynet, som er kommet med bemærkninger til erklæringens udformning og indhold. Erklæringen bygger ligeledes på Datatilsynets skabelon til databehandleraftaler.
Erklæringen er ikke et udtryk for minimumskrav og indeholder en række eksempler på kontrolaktiviteter og revisionshandlinger. Disse er alene til inspiration og bør altid tilpasses til den konkrete risikovurdering, de foranstaltninger, der i øvrigt måtte være aftalt parterne imellem, og under hensyn til revisors professionelle vurdering.
Erklæringen er udarbejdet til brug for de godkendte revisorer og må ikke anvendes af andre.
Erklæringen er også tilgængelig på engelsk.
Januar 2020: Datatilsynet har i december 2019 revideret sin skabelon til databehandleraftaler. Læs mere. Denne reviderede udgave medfører ikke behov for ændring af den eksisterende GDPR-erklæring som kan downloades ovenfor.