Hva er en ISAE 3000-erklæring?

ISAE 3000-erklæringen er også kjent som GDPR-erklæringen og revisorerklæringen. Kjært barn har mange navn, men hva er det egentlig vi snakker om når vi snakker om en ISAE 3000-erklæring?

En ISAE 3000-erklæring er en gjennomgang av de rutinene og kontrollene organisasjonen har implementert for å overholde personvernforordningen (GDPR). Alternativt kan man si, at det er et verktøy designet for å oppfylle kravene som er spesifisert i organisasjonens databehandleravtaler.

Gjennomgangen må utføres av en ekstern revisor (derav navnet revisorerklæring), og resultatet viser hvor godt organisasjonen overholder reglene for lagring og behandling av personopplysninger.

LES OGSÅ: Utnytt den forretningsmessige verdien i GDPR

Når er det nødvendig med en ISAE 3000-erklæring?

Som behandlingsansvarlig kan, og bør, organisasjonen overvåke etterlevelsen av personvernforordningen fortløpende for å kunne dokumentere at den er i samsvar med forordningen. En metode for gjennomføring av dette er ISAE 3000-erklæringen, som signaliserer troverdighet og sikkerhet til interessenter, kunder og forretningspartnere. Svart på hvitt kan organisasjonen vise at GDPR-samsvar ikke bare er noe man sier at man gjør - det er noe som faktisk og har blitt verifisert av en uavhengig tredjepart.

Andre ganger kan ISAE 3000-erklæringen være et krav fra en eller flere kunder som vil ha bevis på at organisasjonen behandler personopplysninger i samsvar med lovgivningen. I mange tilfeller er dette skrevet inn i databehandleravtalen.

Hvor lenge er en ISAE 3000-erklæring gyldig?

Det finnes to ulike tidshorisonter når det gjelder ISAE 3000-erklæringen.

Den første kan gis for et bestemt tidspunkt og omtales som «Type 1», mens den andre gis for en periode, vanligvis på et år, og omtales som «Type 2».

En Type 2-erklæring er alltid å foretrekke, ettersom den kan gjøres én gang i året og deretter deles ut til eventuelle behandlingsansvarlige, og eller databehandlere, for å dokumentere innsatsen. Dette sparer organisasjonen for tid på individuelle spørsmål og revisjoner i løpet av året. Type 2-erklæringen krever imidlertid at revisoren har hatt kunnskap og evne til å overvåke overholdelsen av GDPR, eller eventuelle databehandleravtaler, gjennom hele perioden.

Andre artikler

Få beste praksis og ekspertkunnskap

Hold deg oppdatert med beste praksis, nyheter og kunnskap om governance, risikostyring og compliance og få invitasjoner til arrangementer og webinarer. Du kan når som helst melde deg av.