Behandling af personoplysninger
GDPR-erklæringer anvendes til at give den dataansvarlige indsigt i de procedurer og kontroller, som en ekstern databehandler har etableret for at sikre en betryggende beskyttelse og behandling af den dataansvarliges personoplysninger, herunder overholdelse af databehandler-aftalen.
GDPR-erklæringer anvendes dels i forbindelse med indgåelse af nye aftaler om behandling af personoplysninger og som grundlag for den dataansvarliges løbende overvågning af databehandlerens behandling af personoplysninger.
Relevante spørgsmål ifm. GDPR:
Kunder som er dataansvarlige: "Hvordan sikrer jeg, at behandlingen af persondata hos en leverandør sker i overensstemmelse med GDPR-reglerne?"
Kunder som er databehandlere: "Mine kunder efterspørger en revisorerklæring om persondata – hvad gør jeg, og kan I hjælpe?"
Vores ydelser
I samarbejde med vores kunder fastlægger vi scopet for erklæringen med fokus på de systemer og services, hvori behandlingen af personoplysninger foretages, således at kunderne som er modtagere af erklæringen kan genkende deres behandling i beskrivelsen.
Der er vores erfaring af det bedste resultat opnås gennem høj grad af involvering af kundens organisation, hvorfor vi har udviklet denne proces:
Scoping workshop
Scoping workshop, hvor vi fastlægger hvilke dele af forretningen og hvilke systemer, processer, kontroller, kundegrupper mv., som skal omfattes af erklæringen.
Sparring ved udarbejdelse af systembeskrivelsen
En vigtig del af erklæringen er en beskrivelse af databehandlingen og de anvendte systemer (systembeskrivelsen), og her har vi stor ekspertise i at sikre det rette niveau og indhold.
Kontrolmål og kontroller
Fastlæggelse af kontrolmål og kontroller sikrer at modtagerne får indsigt i de detaljerede kontroller, som er etableret og hvorfor.
Pre-assessment
Pre-assessment, omfatter vores initielle vurdering af design og implementering af procedurer og kontroller. En pre-assessment giver høj værdi for kunder, da de vil kunne udbedre eventuelle svagheder inden opstart af den egentlige erklæringsproces.
Test af kontroller
Test af kontroller omfatter test af og indhentning af dokumentation for kontrollernes design, implementering og operationelle effektivitet, herunder sikring af at kontroller effektivt afdækker risikoen/kontrolmålet.
ISAE 3402 type 1
ISAE 3402 type 1 anvendes typisk ved første gangs erklæringer og omfatter test af design og implementering på et givent erklæringstidspunkt.
ISAE 3402 type 2
ISAE 3402 type 2 anvendes ved periodiske erklæringer og omfatter tillige test af operationel effektivitet over en erklæringsperiode.
Hvad har vi hjulpet kunderne med?
Vi har stor erfaring med at assistere vores kunder med GDPR-erklæringer:
- Kundespecifik ISAE 3000 erklæring for en hosting leverandør
- Multikunde ISAE 3000 erklæring for en hosting leverandør
Kundespecifik ISAE 3000 erklæring for en hosting leverandør
Udarbejdelse af ISAE 3000 erklæring om specifikt aftalte behandlingsprocedurer og kontroller med fokus på overholdelse af den detaljerede databehandler, som var indgået med den specifikke kunde.
Multikunde ISAE 3000 erklæring for en hosting leverandør
Udarbejdelse af ISAE 3000 erklæring om hosting leverandørs standard behandlingsprocedurer og kontroller. Erklæringen anvendes hvor de alle indgående databehandleraftaler følger samme standard, og hvor databehandlingen kunderne imellem er sammenlignelig.
Kontakt os
Partner, Risk Assurance, statsaut. revisor, PwC Denmark
Tlf: 2141 5985
