ISAE 3000-erklæringen går også under navnene GDPR-erklæring samt revisorerklæring. Kært barn har som bekendt mange navne, men hvad er det helt præcis, vi taler om, når snakken falder på en ISAE 3000-erklæring?
Hvad er en ISAE 3000-erklæring?
En ISAE 3000-erklæring er en gennemgang af de procedurer og kontroller, organisationen har implementeret for at overholde databeskyttelsesforordningen – eller alternativt for at leve op til de krav der er angivet i organisationens databehandleraftaler.
Gennemgangen skal foretages af en ekstern revisor (deraf navnet revisorerklæring), og resultatet viser, hvor vidt organisationen lever op til reglerne om opbevaring og behandling af personoplysninger.
LÆS OGSÅ: Skal din organisation have en DPO?
Hvornår er en ISAE 3000-erklæring nødvendig?
Som dataansvarlig kan (og bør) organisationen selv føre løbende kontrol med overholdelse af databeskyttelsesforordningen for at kunne dokumentere, at GDPR efterleves. En metode til at gøre dette er ISAE 3000-erklæringen, der på denne måde signalerer troværdighed og sikkerhed overfor interessenter, kunder og samarbejdspartnere. Sort på hvidt kan organisationen dokumentere, at overholdelse af GDPR ikke bare er noget, I siger, I gør – det sker rent faktisk, og det er kontrolleret af en uafhængig tredjepart.
Andre gange kan ISAE 3000-erklæringen være et krav fra en eller flere kunder, der ønsker dokumentation for, at organisationen behandler personoplysninger i henhold til lovgivningen. I mange tilfælde er det i den henseende indskrevet i databehandleraftalen.
LÆS OGSÅ: Tilsyn med databehandlere
Hvor længe er en ISAE 3000-erklæring gældende?
Der findes to forskellige tidshorisonter, når det kommer til ISAE 3000-erklæringen.
Den første kan gives for et givent tidspunkt og går under betegnelsen "Type 1," mens den anden gives for en periode – typisk et år – og betegnes "Type 2".
En Type 2-erklæring vil altid være at foretrække, da den kan laves én gang årligt og derefter udleveres til eventuelle dataansvarlige for at dokumentere indsatsen. På den måde sparer organisationen tid på individuelle spørgsmål og revision løbende over året. Type 2-erklæringen kræver dog, at revisoren har haft kendskab til og mulighed for at føre kontrol med overholdelse af GDPR eller eventuelle databehandleraftaler i hele perioden.