Gemt

FSR – danske revisorer og Datatilsynet lancerer ny revisorerklæring til kontrol med databehandlere

09. december 2020

En dataansvarlig skal ikke alene efter databeskyttelsesforordningen indgå en databehandleraftale, men også føre kontrol med behandlingen hos databehandleren efterfølgende.

FSR og Datatilsynet har lanceret en revisorerklæring, som man kan tage udgangspunkt i., hvis kontrollen ønskes gennemført af en revisor.

Hvad siger databeskyttelsesforordningen?
Det fremgår faktisk ikke direkte af databeskyttelsesforordningen, at man skal påse behandlingssikkerheden hos en databehandler.

Det fremgår dog af Datatilsynets vejledning om tilsyn med databehandlere og underdatabehandlere, at det er Datatilsynets opfattelse, at man også skal påse behandlingssikkerheden hos sine databehandlere for at leve op til kravet om ansvarlighed i forordningen. Samtidig skal en dataansvarlig kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen. Det er derfor efter Datatilsynets opfattelse ikke nok blot at indgå en databehandleraftale.

Databehandleren skal også kontrolleres. Det kan gøres på forskellige måder, men en af måderne er, at lade kontrollen foregå ved en revisors mellemkomst

Ny revisorerklæring
For at give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, behandler data i overensstemmelse med databeskyttelsesforordningen, har FSR – danske revisorer efter samarbejde med Datatilsynet nu lanceret en ny revisorerklæring om persondata.

Erklæringen er lanceret under titlen ”Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]”.

Det fremgår af FSR – danske revisorers lancering af erklæringen, at den ikke er et udtryk for minimumskrav og alene indeholder en række eksempler på kontrolaktiviteter og revisionshandlinger, der er til inspiration. Erklæringen bør altid tilpasses til den konkrete risikovurdering, de foranstaltninger, der i øvrigt måtte være aftalt parterne imellem og under hensyn til revisors professionelle vurdering. Det fremgår herudover, at erklæringen er udarbejdet til brug for godkendte revisorer og ikke må anvendes af andre.

Her kan du læse FSR - danske revisorers Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig] på både dansk og engelsk.

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}