ISAE 3000-erklæringen går også under navnene GDPR-erklæring samt revisorerklæring. Kært barn har som bekendt mange navne, men hvad er det helt præcis, vi taler om, når snakken falder på en ISAE 3000-erklæring?
Hvad er en ISAE 3000-erklæring?
En ISAE 3000-erklæring er en gennemgang af de procedurer og kontroller, organisationen har implementeret for at overholde databeskyttelsesforordningen – eller alternativt for at leve op til de krav der er angivet i organisationens databehandleraftaler.
Gennemgangen skal foretages af en ekstern revisor (deraf navnet revisorerklæring), og resultatet viser, hvor vidt organisationen lever op til reglerne om opbevaring og behandling af personoplysninger.
LÆS OGSÅ: Skal din organisation have en DPO?
Hvornår er en ISAE 3000-erklæring nødvendig?
Som dataansvarlig kan (og bør) organisationen selv føre løbende kontrol med overholdelse af databeskyttelsesforordningen for at kunne dokumentere, at GDPR efterleves. En metode til at gøre dette er ISAE 3000-erklæringen, der på denne måde signalerer troværdighed og sikkerhed overfor interessenter, kunder og samarbejdspartnere. Sort på hvidt kan organisationen dokumentere, at overholdelse af GDPR ikke bare er noget, I siger, I gør – det sker rent faktisk, og det er kontrolleret af en uafhængig tredjepart.
Andre gange kan ISAE 3000-erklæringen være et krav fra en eller flere kunder, der ønsker dokumentation for, at organisationen behandler personoplysninger i henhold til lovgivningen. I mange tilfælde er det i den henseende indskrevet i databehandleraftalen.
LÆS OGSÅ: Tilsyn med databehandlere
Hvor længe er en ISAE 3000-erklæring gældende?
Der findes to forskellige tidshorisonter, når det kommer til ISAE 3000-erklæringen.
Den første kan gives for et givent tidspunkt og går under betegnelsen "Type 1," mens den anden gives for en periode – typisk et år – og betegnes "Type 2".
En Type 2-erklæring vil altid være at foretrække, da den kan laves én gang årligt og derefter udleveres til eventuelle dataansvarlige for at dokumentere indsatsen. På den måde sparer organisationen tid på individuelle spørgsmål og revision løbende over året. Type 2-erklæringen kræver dog, at revisoren har haft kendskab til og mulighed for at føre kontrol med overholdelse af GDPR eller eventuelle databehandleraftaler i hele perioden.
Hvordan arbejder man med en ISAE 3000-erklæring?
At få en ISAE 3000-erklæring er ikke noget, der sker fra den ene dag til den anden. Selvom selve erklæringen udarbejdes af en ekstern revisor, ligger det største arbejde i organisationen. Det handler om at skabe et solidt grundlag, så revisor kan dokumentere, at I faktisk har styr på processer, systemer og kontroller.
For mange kan det virke uoverskueligt, hvor man skal starte, og hvilke trin der skal gennemføres. Men processen kan deles op i nogle velkendte faser, som hjælper jer til at arbejde systematisk og sikre, at intet overses:
-
Kortlægning: Kortlæg jeres systemer, processer og persondata for at skabe overblik. Det er fundamentet, der gør det muligt at se, hvordan data reelt håndteres i organisationen.
-
Risikovurdering: Vurder hvor der er huller i de nuværende kontroller. Målet er at identificere de største risici, så indsatsen kan prioriteres der, hvor det har størst effekt.
-
Implementering af tiltag: Når risici er identificeret, skal der sættes ind med konkrete forbedringer – fx nye tekniske foranstaltninger, ændrede procedurer eller træning af medarbejdere.
-
Overvågning og dokumentation: For at kunne bevise compliance skal organisationen løbende overvåge status på tiltagene og samle dokumentation. Her gælder det ikke kun om at have de rigtige processer – men også at kunne vise, at de efterleves i praksis.
-
Revision og rapportering: Når kontrollerne er på plads, kan revisor vurdere dem og udarbejde erklæringen. Type I vurderer kontrollerne på et givent tidspunkt, mens type II viser, at de har været effektive over en længere periode.
Ved at følge disse trin bliver arbejdet med ISAE 3000 mere overskueligt, og organisationen får en proces, der ikke kun understøtter revisionen, men også styrker GDPR-compliance og troværdighed overfor kunder og samarbejdspartnere.
Hvilken værdi skaber en ISAE 3000-erklæring?
Selvom en ISAE 3000-erklæring ofte udspringer af et krav fra kunder, samarbejdspartnere eller myndigheder, er der ofte andre fordele at hente i arbejdet med skaffe en ISAE 3000-erklæring . Processen hjælper organisationen med at få styr på sine egne kontroller, skabe overblik over databehandlingen og sikre, at GDPR-indsatsener systematisk og effektiv.
Resultatet er et højere modenhedsniveau, hvor ledelsen kan træffe beslutninger på et solidt grundlag, og hvor medarbejderne har tydelige retningslinjer at arbejde efter. Samtidig styrkes tilliden eksternt, fordi erklæringen giver et synligt bevis på, at I ikke blot lover at leve op til GDPR, men faktisk gør det i praksis.
På den måde bliver ISAE 3000 ikke kun et bevis på compliance, men også et værktøj til at skabe transparens, effektivitet og troværdighed i hele organisationen.
ISAE 3000 i forhold til andre erklæringer
En ISAE 3000-erklæring giver både struktur, troværdighed og et solidt grundlag for arbejdet med databeskyttelse. Men det er ikke den eneste standard, der bruges til at skabe tillid gennem uafhængig revision. I nogle sammenhænge kan man også støde på ISAE 3402, som ofte nævnes i samme åndedrag – men som dækker et andet område.
Hvor ISAE 3000 dokumenterer ikke-finansielle kontroller, fx i relation til GDPR og databeskyttelse, fokuserer ISAE 3402 på organisationens it-forhold. Her gennemgår en ekstern revisor it-kontrollerne og vurderer, om de fungerer, som de skal. Resultatet er en erklæring, der fungerer som officielt bevis på, at organisationen lever op til kravene inden for it-sikkerhed og udviser god it-skik.
Selvom de to standarder har det samme formål – at skabe tillid gennem revision – retter de sig altså mod forskellige områder. Derfor er det vigtigt at vælge den erklæring, der bedst matcher organisationens behov og de krav, som kunder eller samarbejdspartnere stiller.
