Med implementeringen af GDPR og databeskyttelseslovgivningen er der opstået et behov for virksomheder for at kunne vise deres omverden, at de rent faktisk lever op til deres forpligtelser. Det kan være leverandører af software-applikationer, web-løsninger, it-hosting, anden aktører for jobcentre, HR-virksomheder osv.
Behovet har også været der før GDPR, og behovet er der også indenfor andre områder, fx at vise sin efterlevelse af god it-skik mv. Men GDPR har uden tvivl løftet behovet i forhold til beskyttelse af personoplysninger, idet en lang række databehandleraftaler i dag indeholder krav til leverandører om at kunden (dataansvarlig) årligt skal modtage en revisorerklæring efter ISAE 3000 fra sin leverandør (databehandler).
En revisorerklæring kan betragtes som en del af det tilsyn, som dataansvarlig er forpligtet til at føre med sin databehandler. Man kan diskutere længe om, hvorvidt dette tilsyn er ”for meget” og ”for dyrt”. Det vil jeg ikke berøre yderligere her i artiklen, andet end at nævne, at tilsyn skal baseres på en afvejning, og et tilsyn kan tilrettelægges mere ”mildt”, end ved at databehandler ”blindt” skal afkræves en revisorerklæring. Men det skal den enkelte dataansvarlige altså afveje.
ISAE 3000 i relation til databehandlerforpligtelser
FSR – danske revisorer og Datatilsynet offentliggjorde i januar 2019 nyheden om, at de i fællesskab har udarbejdet et eksempel på, hvordan godkendte revisorer kan rapportere og tilrettelægge deres arbejde ved gennemgange af databehandleres efterlevelse af databeskyttelseslovgivningen (GDPR). ISAE 3000-standarden er i sig selv en måde, hvorpå revisor kan rapportere på et givent forhold. Og selvom revisorer (os selv inkl.) i mange år har brugt erklæringsstandarden til at rapportere på virksomheders efterlevelse af dette og hint – herunder persondataloven – har der ikke været en ensrettet rapporteringsstandard præcis for GDPR-efterlevelse.
Udgangspunktet var – og er – derfor, at det er godt, at der er kommet en ensretning på området, så hver revisor ikke egenhændigt skal opfinde sin egen måde at bedrive sit arbejde på. Sådan groft sagt.
FSR og Datatilsynet har gjort et godt stykke arbejde i deres eksempel på rapportering, for det er det, det er: Der er tale om et eksempel på det omfang, som revisor skal påse hos databehandleren. Der er ikke tale om en facitliste eller en konkret arbejdsplan (se afsnit 4 i Word-dokumentet i linket herover), men et ekstrakt af de arbejdshandlinger, der skal udføres for at opnå det, vi revisorer kalder for ’overbevisning’ om, at områderne er fyldestgørende. Det er også værd at nævne, at vi har set, at konsulenter – og ikke revisorer – har forsøgt at afgive erklæringen. Arbejdet er ganske sikkert rigtigt godt, men det er kun en godkendt revisor, der kan gøre en sådan erklæring officiel ved at sætte sin underskrift på den.
ISO 27701 – den nye GDPR-standard?
I august 2019 kom den internationale ISO-organisation med en ny standard: ISO 27701. Mange kender nok ISO 27001, og flere kender nok også til, at offentlige myndigheder og større virksomheder ofte stiller krav om efterlevelse af netop ISO 27001. ISO 27701 hedder ”Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”, som groft sagt dækker over, om GDPR-efterlevelse er korrekt implementeret.
Spørgsmålet er så nu, om virksomheder, som har fået udarbejdet en ISAE 3000-erklæring ift. deres databehandlerrolle, nu i stedet skal certificeres efter ISO 27701? Svaret er: Måske. Først og fremmest er standarden meget ny, der er endnu meget få akkrediterede certificeringsinstitutter, og herudover vil en certificering muligvis trumfe revisorerklæringen.
Men er det så i stedet en god ide for virksomheder at efterleve standarden? Ja, det er det højst sandsynligt.
Hvad er bedst? ISAE 3000 baseret på ISO 27701?
Hvis en databehandler har et krav om at kunne vise, at man lever op til dataansvarliges krav, hvad gør man så? I dag er det som nævnt kun ISAE 3000-erklæringen, der reelt er den eneste mulighed. ISO 27001-certificeringen fortæller en masse godt om generelle it-driftsmæssige forhold er på plads, og samme gør en revisorerklæring efter ISAE 3402. Disse to varianter adresserer dermed ikke den konkrete databehandleraftale-instruks, der som oftest bør ligge til grund for den dataansvarliges krav til databehandler. Groft sat håndterer ISO 27001, anneks A (ISO 27002) måske mest af alt artikel 32 i GDPR. Så ISO 27001 og ISAE 3402 er ikke løsningen. ISO 27701 certificering vil være svaret, men så kommer diskussionen om, hvorvidt en ISO-certificering adresserer konkrete og reelt implementerede forhold, endda baseret på stikprøver udover en periode på 12 måneder. Nej, det gør certificeringen som udgangspunkt ikke.
Tilbage er så stadig ISAE 3000-erklæringen. Den er opbygget med en udtalelse fra ledelsen om sin vurdering af implementerede forhold, revisors uafhængige erklæring, virksomhedens beskrivelse af de implementerede forhold, og så endelig et afsnit (føromtalte afsnit 4). Dette afsnit indeholder en masse skemaer, hvor revisor har angivet, hvad der er gennemgået og en delkonklusion af, om de enkelte fund er tilstrækkeligt adresseret og implementeret af virksomheden. Dette sidste afsnit er opfundet og gennemarbejdet af FSR og Datatilsynet, og det er rigtigt godt! Det er i hvert fald godt, at vi har en ensretning af, hvordan revisorer rapporterer efterlevelsen.
Opbygningen af afsnittet er baseret på relevante artikler i GDPR, så strukturen er der. Så når ISAE-erklæringen er god, ISO 27701 er god, men dyr, og måske ikke tilstrækkelig at blive certificeret ud fra, så er en kombination måske den bedste? Altså revisors uafhængige erklæring – med al den sikkerhed, der ligger i den underskrift – kombineret med en ny ramme, nemlig ISO 27701, som er international, som EU måske endda kommer til at bygge sin holdning på, og som forstås af andre ud over landets grænser.
Mappingen ISO 27701, ISO 27001 og FSR/Datatilsynet
For vores vedkommende i Grant Thornton, hvor vi afgiver en hulens masse ISAE 3000 erklæringer i øjeblikket, vil vi ikke afvige i forhold til FSR/Datatilsynets rapporteringseksempel. Vi er i en dialog med dem om at ændre på forholdene, men indtil da ændrer vi ikke på noget i vores erklæring. Vi føler, at det er vigtigt, at vi i revisorbranchen har en ensrettet rapportering, for så er der en fælles baseline.
Fremover vil vi vise en mapping imellem punkterne i FSR/DT-rapporteringseksemplet og ISO 27701. Det gør vi for, at læserne af erklæringen kan se, hvilke punkter i FSR-modellen som læner sig op ad ISO 27701 – fx at område B.1 relaterer sig til område 5.2.2 osv. Det giver større overblik ift. de to ISO-standarder, og hvordan de relaterer sig til GDPR. Det er især værdifuldt i international sammenhæng, hvor ISO-standarden er kendt i langt højere grad end den danske FSR-model. Det vil vi fortsætte med at gøre for vores kunder, i hvert fald indtil FSR og Datatilsynet ændrer deres rammesæt i ISAE 3000, så det følger ISO27701-standarden. Det håber vi sker snart.