Ny revisorerklæring skal hjælpe dataansvarlige med tilsyn af databehandlere
FSR – Danske Revisorer og Datatilsynet har offentliggjort en ny revisorerklæring. Den nye erklæring skal gøre det nemmere for dataansvarlige at føre kontrol med databehandlere og påse, at krav i databeskyttelsesforordningen bliver opfyldt. Erklæringen gælder ved siden af revisorerklæringen, der blev offentliggjort i 2019, så virksomheder nu har to erklæringer at vælge imellem.
To forskellige revisorerklæringer
Når dataansvarlige benytter sig af databehandlere, skal man løbende påse, at ens databehandlere behandler personoplysninger i overensstemmelse med kravene i databeskyttelsesforordningen (GDPR).
For at hjælpe dataansvarlige med at føre fornødent tilsyn, har FSR – Danske Revisorer (FSR) i samarbejde med Datatilsynet udarbejdet to forskellige erklæringer, som virksomheder kan efterspørge hos deres revisor. I starten af 2019 lancerede de en revisorerklæring med en høj grad af sikkerhed, og nu har de ligeledes lanceret en udgave med en begrænset grad af sikkerhed.
Virksomheder har derfor fremover mulighed for at vælge mellem to forskellige udgaver med forskellige grader af sikkerhed:
- Revisorerklæring fra 2019 med høj grad af sikkerhed
- Revisorerklæring fra 2020 med begrænset grad af sikkerhed
Forskellen mellem de to erklæringer
Med muligheden for at vælge imellem forskellige grader af beskyttelse kan dataansvarlige i højere grad vælge en revisorerklæring, der passer til de specifikke aktiviteter, som databehandleren udfører. Derved kan det blive nemmere for den dataansvarlige at føre tilsyn med databehandleren.
Forskellen mellem de to erklæringer består primært i graden af revisorens efterprøvelse af oplysninger. Ved en erklæring med begrænset grad af sikkerhed efterprøver revisoren ikke de oplysninger, som revisoren modtager, i sammen omfang som ved en erklæring med en høj grad af sikkerhed. Revisoren vil ved en erklæring med begrænset grad af sikkerhed i stedet for baserer sine undersøgelser på forespørgsler fra virksomheden og derefter krydstjekke forespørgslerne med andre oplysninger og viden, som revisoren har om virksomheden.
Hvilken erklæring skal man vælge?
Den nye erklæring med begrænset grad af sikkerhed kan blandt andet være nyttig, hvis der ikke sker kompleks eller risikofyldt behandling af personoplysninger, eller hvis den dataansvarlige allerede foretager et omfattende tilsyn med databehandleren. FSR har på deres hjemmeside nævnt følgende eksempler på tilfælde, hvor den nye erklæring kan være tilstrækkelig:
- Ved simpel behandling af en begrænset mængde af personoplysninger; fx når en privat virksomhed får oplysninger om enkelte borgere i en kommune, som skal bruges til aktiviteter med borgerne (blandt andet behandling, aktivering mv.)
- Ved opbevaring af almindelige personoplysninger, som den dataansvarlige kan tilgå og udtrække (blandt andet ved oversigter, statistikker mv.)
- Ved den dataansvarliges stikprøvekontrol af databehandlere, hvor erklæringen kan virke som dokumentation for behandlingssikkerheden for de databehandlere, der ikke er udvalgt til stikprøvekontrol.
De to erklæringer kan fungere som inspiration, men den dataansvarlige skal altid sørge for, at revisorerklæringen lever op til sit formål i den konkrete situation – så der bliver foretaget en konkret risikovurdering, som er tilpasset de konkrete omstændigheder under hensyn til revisorens professionelle vurdering.
Man skal derfor overveje, om en erklæring med en begrænset grad af sikkerhed sikrer en tilstrækkelig grad af beskyttelse i overensstemmelse med GDPR. Alternativt kan den dataansvarlige overveje at supplere en erklæring med begrænset sikkerhed med yderligere undersøgelser, fx ved driftsmøder med databehandleren.
Det er ikke et krav at benytte revisorerklæringer for at leve op til kravene i GDPR, men hvis man gør brug af erklæringerne, sikrer man dog, at de relevante beskyttelsesområder bliver belyst, og at der bliver foretaget en uvildig kontrol af sikkerhedsniveauet. Herudover vil de udgøre et godt grundlag, hvis man på et senere tidspunkt skal i dialog med Datatilsynet om et eventuelt tilsyn med databehandleren.
Dataansvarlige har altid ansvaret for, at personoplysninger bliver behandlet korrekt – også selvom behandlingen er overladt til andre. En revisorerklæring kan hjælpe den dataansvarlige til at sikre, at personoplysninger bliver behandlet korrekt, og giver en sikkerhed for, at GDPR-kravene bliver overholdt.
Erklæringerne kan hentes via FSR’s hjemmeside.