Datatilsynet har i samarbejde med FSR Danske Revisorer lanceret en ny revisorerklæring til brug for dataansvarliges tilsynspligt overfor sine databehandlere.
Den nye erklæring hedder ”Uafhængig revisors ISAE 3000-erklæring med begrænset sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]” og er ikke udarbejdet som en opdatering, men som et alternativ til den revisionserklæring, Datatilsynet og FSR Danske Revisorer lancerede i 2019.
Generelt om den dataansvarliges tilsynspligt
Anvendelsen af revisorerklæringer kommer til udtryk i den dataansvarliges tilsynspligt i medfør af databeskyttelsesforordningens grundlæggende princip om ansvarlighed.
Når en dataansvarlig ønsker at udlicitere en behandlingsopgave til en databehandler, har den dataansvarlige pligt til at foretage efterfølgende kontrol af databehandlerens behandling af personoplysninger og sikre, at behandlingen sker i overensstemmelse med databeskyttelsesreglerne.
Der findes flere måder at foretage en sådan kontrol på. Den dataansvarlige kan fx føre kontrol med en databehandler ved at anmode databehandleren om en revisorerklæring.
Ud over anvendelse af revisorerklæringer kan dataansvarlige bl.a. gøre brug af fysiske eller skriftlige tilsyn, hvor den dataansvarlige anmoder databehandleren om at besvare relevante spørgsmål.
Valget af tilsynsformen afhænger af den dataansvarliges risikovurdering og de dermed identificerede risici for de registrerede, der knytter sig til behandlingen. Parternes aftale om de nærmere vilkår for tilsyn er som udgangspunkt reguleret i databehandleraftalen.
Forskel mellem de to revisionserklæringer
Med den nye revisionserklæring får dataansvarlige fremover mulighed for at vælge mellem to forskellige grader af sikkerhed, når de efterspørger en revisionserklæring for kontrol af sine databehandlere:
- en revisionserklæring med ”høj grad af sikkerhed” i form af 2019-erklæringen, og
- en revisionserklæring med ”begrænset sikkerhed” i form af den nye 2020-erklæring.
Forskellen mellem revisorerklæringen med begrænset sikkerhed og revisorerklæringen med høj grad af sikkerhed består i, at revisor ved afgivelse af en erklæring med begrænset sikkerhed ikke i samme omfang efterprøver og tester de modtagne oplysninger fra databehandleren.
Revisor vil således primært basere erklæringen på de oplysninger, som databehandleren giver revisor, sammenholdt med revisors egen generelle viden om databehandlerens virksomhed og de oplysninger, revisor modtager fra andre arbejdshandlinger i forbindelse med arbejdet.
Forskellen mellem de to revisorerklæringer er således omfanget af revisors efterprøvelse og tests af databehandlerens faktiske behandlingsaktiviteter og gennemførte sikkerhedsforanstaltninger.
Valg mellem de to revisorerklæringer
Ønsker en dataansvarlig at kontrollere databehandlerens behandling af personoplysninger ved brug af revisorerklæring, er valget mellem de to erklæringer frit.
Den nye erklæring kan fx anvendes, hvis den dataansvarlige i forvejen fører et omfattende tilsyn med databehandleren, eller hvis behandlingsaktiviteterne hos databehandleren ikke er risikofyldte eller komplekse i databeskyttelsesmæssig henseende.
Datatilsynet og FSR’s revisorerklæringer er ikke et udtryk for minimumskrav og indeholder kun eksempler på kontrolaktiviteter og arbejdshandlinger, som den dataansvarlige kan søge inspiration i. Den dataansvarlige bør derfor altid tilpasse revisionserklæringen til den dataansvarliges risikovurdering.
Desuden kan begge erklæringer udarbejdes som ”type 1”, hvilket betyder, at erklæringen omfatter kontroller pr. et aftalt tidspunkt, eller ”type 2”, hvilket betyder, at erklæringen omfatter kontroller for en aftalt periode, fx et regnskabsår.
CLEMENS Advokatfirma bemærker
Hos CLEMENS Advokatfirma imødeser vi den nye revisorerklæring, som fremadrettet vil udgøre et vigtigt element i de dataansvarliges adgang til at føre kontrol med sine databehandlere.
Der er med erklæringen tale om en ”light-version” af erklæringen fra 2019, idet revisor ikke efterprøver og tester de svar, som databehandleren oplyser overfor revisor. Derfor vil den dataansvarlige i et større omfang end ved erklæringen fra 2019 skulle foretage supplerende foranstaltninger til at sikre overholdelse af tilsynspligten, fx i form af hyppigere opfølgende faktiske kontroltilsyn, hvor den dataansvarlige efterprøver og tester databehandlerens svar.
Hos CLEMENS Advokatfirma har vi stor erfaring med at rådgive virksomheder inden for databeskyttelsesretlige aspekter.
Har du spørgsmål i relation til revisorerklæringer eller databeskyttelse, er du altid velkommen til at kontakte CLEMENS Advokatfirmas specialister.