09 jun Hvad er forskellen på en ISAE 3402 og en ISAE 3000 GDPR-erklæring?
9. juni 2020
ISAE 3402 og ISAE 3000 GDPR er lidt i samme boldgade, for de handler begge overordnet set om beskyttelse af it og informationer. Men der er alligevel væsentlig forskel.
Hvor kringlet er det?
ISAE 3000 GDPR handler om beskyttelse af persondata
En ISAE 3000 GDPR-erklæring handler om hvorvidt GDPR bliver overholdt. Mere præcist, om en virksomhed i sin rolle som databehandler, efterlever hvad virksomheden skal. Overfor sine kunder.
Sådan er det oftest. Men erklæringens omfang kan også være en eller flere af virksomheds ydelser – eller både rollen som databehandler og dataansvarlig. Men typisk er der tale om, at en ISAE 3000 GDPR-erklæring omhandler en virksomheds efterlevelse af sin rolle som databehandler.
En ISAE 3000 erklæring kan også indeholde andet end GDPR (hvorfor vi hele tiden kalder den ISAE 3000 GDPR), for den kan også omhandle it-sikkerhed eller andet. Dette kommer vi kort til sidst i denne artikel.
ISAE 3402 handler om vigtig driftssituation
En ISAE 3402 erklæring er ret beset, og meget revisornørdet, en erklæring, der skal understøtte eller omhandle en situation der har at gøre med en finansiel transaktion eller rapportering.
Men ofte omhandler erklæringen noget helt andet, nemlig om at en driftsleverance inden for it sker betryggende – baseret på et anerkendt framework som oftest er kontrolmål fra ISO 27001 (ISO 27001, annex A, hvilket svarer til ISO 27002).
Hvornår skal du vælge det ene og hvornår det andet?
Ofte ser vi, at kommuner, stat, og større virksomheder efterspørger en revisorerklæring fra et udvalg af deres leverandører. Dette kan være i en kontrakt eller i en databehandleraftale, og til tider er der lidt forskel på om der spørges efter en ISAE 3402 eller en ISAE 3000 GDPR-erklæring. Det kan der være god mening i, eller også er der nogen der har misforstået.
Vi plejer at simplificere det ved at sige:
En ISAE 3402 erklæring (eller ISAE 3000, for at være helt teoretisk korrekt) bør efterspørges, hvis man som kunde har outsourcet en væsentlig aktivitet, hvor man har brug for at få verificeret at der er processer til at understøtte en vigtig/kritisk driftssituation
Altså, der må helst ikke være nedetid, sletter vi nogle filer, skal de kunne komme tilbage igen, procedurer om drift, logning, backup, nødstrøm, ændringshåndtering, log osv., skal fungere
For en ISAE 3000 GDPR-erklæring, plejer vi at simplificere behovet ved at sige:
En ISAE 3000 GDPR-erklæring bør efterspørges, hvis der er tale om at få verificeret, at persondata beskyttes tilstrækkeligt.
Er der sammenfald mellem disse to erklæringer?
Ja. Emner som adgangsbeskyttelse, logføringer, kryptering, er mere eller mindre det samme. Men udgangspunktet er forskelligt. En ISAE 3402 erklæring tager udgangspunkt i processer (oftest til og med operativsystem), og en ISAE 3000 GDPR-erklæring, tager udgangspunkt i data.
Er det så dermed forkert at bede om en ISAE 3402 erklæring i en databehandleraftale?
Udgangspunktet vil nok være, at en ISAE 3000 GDPR-erklæring vil være det mest indlysende at have anført i en databehandleraftale.
Vil det give mening at bede om en ISAE 3000 GDPR-erklæring fra vores hostingleverandør?
Ja, det kunne det sagtens, og det skulle være som supplement til en ISAE 3402 erklæring, idet hostingleverandøren alt andet lige (som oftest) tager sig af en væsentlig og kritisk del, og samtidig dermed også beskyttelse af persondata.
Hvad så med diverse online HR-systemer, tidsregistreringssystemer osv.?
Det er lidt en afvejning af, om der er mange persondata i systemet, om disse er følsomme eller ej, om den leverede ydelse er forretningskritisk eller ej. Men oftest vil en ISAE 3000 GDPR-erklæring være mest relevant.
Husk, at det ikke er lovkrav at have en revisorerklæring. I hvert fald i langt de fleste brancher, udover den finansielle branche, og også anført i diverse SKI rammeaftaler, standarder til databehandleraftaler mv. Det er efterhånden også kutyme i mange brancher at bruge disse erklæringer som tilsyn med leverancer fra underleverandører.
Som lovet i starten af artikel, vender vi tilbage til at en ISAE 3000 erklæring kan også indeholde meget andet end GDPR. Det kan være aftalte kontroller som er aftalt mellem to parter, og hvor revisor erklærer sig objektivt om dette, det kan være cybersecurity, generelle it-kontroller og meget andet. Men GDPR og databeskyttelsesloven fylder mest, når talen falder på ISAE 3000.
Læs mere detaljerede og uddybende beskrivelser af de to erklæringstyper her:
Til skimmeren: De tre hurtige svar
- ISAE 3000 handler (typisk) om GDPR og beskyttelse af persondata.
- ISAE 3402 handler (typisk) om vigtig driftssituation: Altså, der må helst ikke være nedetid, sletter vi nogle filer, skal de kunne komme tilbage igen, procedurer om drift, logning, backup, nødstrøm, ændringshåndtering, log osv., skal fungere
- ISAE 3402 tager udgangspunkt i processer og fysiske forhold, ISAE 3000 GDPR tager udgangspunkt i data.