ISAE 3000 GDPR-erklæring
En ISAE 3000 GDPR-erklæring er konklusionen på en revision, hvor vi vurderer, hvorvidt jeres virksomhed overholder de indgåede databehandleraftaler og databeskyttelsesforordningen (GDPR).
Udover at ISAE 3000 GDPR-erklæringen kan være et krav fra virksomhedens kunder, sender den samtidig et signal om, at din virksomhed behandler persondata korrekt. Dette kan positivt påvirke samarbejdspartnere og potentielle kunder samt være et stærkt konkurrenceparameter.
Mange offentlige institutioner og virksomheder stiller i dag krav om, at deres leverandører har en erklæring om virksomhedens GDPR-compliance, og dette er også en tendens, der ses mere og mere i den private sektor.
Det kan være dyrt ikke at have styr på virksomhedens databehandling, og kan i værste tilfælde give bøder på op til 4% af virksomhedens årlige omsætning.
Hvordan udarbejder Baker Tilly revisorerklæringen?
For at kunne udarbejde ISAE 3000 GDPR-erklæringen indsamler vi den relevante dokumentation samt afholder interviews med nøglemedarbejdere, der kan give os indsigt i processer og forretningsgange, hvor der behandles persondata.
Vi stiller en arbejdsplan til rådighed, hvor det fremgår, hvad der er af krav til dokumentationen, som samtidig giver et overblik over, hvilke områder der muligvis kan styrkes.
Vores gennemgang omfatter vurdering af alle områder i databeskyttelsesforordningen, bl.a.:
- Logning af adgang og anvendelse af personoplysninger
- Sikkerheden, både fysisk (computere, servere mv.) og softwaremæssigt (antivirus, firewalls mv.)
- Gennemgang af instrukser og overholdelse af disse
- Beskyttelse af personoplysninger
- Retten til at blive glemt
Hvad er GDPR?
Alle virksomheder, der behandler personoplysninger, er omfattet af databeskyttelsesforordningen, som trådte i kraft den 25. maj 2018.
Personoplysninger er enhver form for information, der kan henføres til en bestemt person. Følsomme personoplysninger er oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuelle forhold eller seksuel orientering.
Virksomheden er derfor omfattet, hvis f.eks.:
- der er medarbejdere, der modtager løn
- kunderne omfatter privatpersoner
Databeskyttelsesforordningen omhandler behandlingen af personoplysninger, både i form af beskyttelse af oplysninger og korrekt håndtering af disse.
Har du brug for en ISAE 3000 GDPR-erklæring?
Baker Tilly kan hjælpe dig og din virksomhed med en gennemgang af jeres databehandleraftale samt de forskellige erklæringstyper herunder ISAE 3402 GDPR-erklæring.