GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Transkript

1 GDPR Leverandørstyring og revisionserklæringer

2 GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen,

3 Agenda Leverandørstyring Erklæringer Spørgsmål 3

4 Leverandørstyring

5 Accountability Ansvar vs. opgaveløsning Opgaven kan uddelegeres ikke ansvaret.. Lovgivningskrav compliance GDPR (art. 5a og 24) ISO27001 Outsourcing-bekendtgørelsen Brancheregulering Sikkerhedshændelser Cyberangreb og andre hændelser Dataansvarlig, databehandler og underdatabehandler Ledelsesansvar GDPR og informationssikkerhed som økonomi og kvalitet 5

6 Leverandørstyring Idé om outsourcing, køb af ydelse, ny aftale eller genudbud Risikovurdering, dataklassifikation, Kravstillelse udbud, vurdering og valg af leverandør, kontrakt, SLA mv. Udbud og kravstillelse Løbende opfølgning og styring Test, revisionserklæring, opfølgning og vurdering af leverance Kontraktsopfølgning FEST 6

7 Leverandører hvem tør du handle med? Tro og håb er ikke nok du skal vide Interne og eksterne aktører, der ikke er direkte dataansvarlige Der skal stilles krav fra start til slut og der skal følges op Interne afdelinger, virksomheder i koncernen Regulering via aftaler (model clauses jf. EU, BCR (binding corporate rules) mv. Eksterne drift/hosting, udvikling eller serviceleverandører Regulering via flere forskellige styringsmidler med styrker og svagheder 7

8 Styringsmidler Værktøjskassen Styringsmidler Kommentarer Diverse dokumentation, rapporter og mundtlige møder Besøg og egen besigtigelse Juridiske kontrakter, model clauses, databehandleraftaler BCR binding corporate rules 3. Parts test sikkerhedstest af diverse udformninger Bedre end ingenting ingen sikkerhed for omfang/validitet. Ikke uvildig i tilfælde af tvist. Afhængig af kvalifikationer og erfaring. Ikke uvildig i tilfælde af tvist. Er alene dokumenter der bruges til at stille krav. Opfølgning er ikke implicit. (uddybes) Omfattende internt styringssystem (politikker, regler, kontroller, opfølgning mv.) bruges alene internt - dataflow mellem forskellige CVR-nr. (uddybes) Alene relateret til det omfang der er i scope for test. Ingen relation til den konkrete databehandling eller GDPR-krav ISO27001 certificeringer Databehandler har ISMS implementeret ledelsesforankret og risikobaseret informationssikkerhed. Ingen direkte relation til den konkrete databehandling eller GDPR-krav. (uddybes) Revisionserklæringer ISAE3402, 4400 og 3000 Flere typer, forskellige formål og omfang mere herom følger 8

9 Juridiske kontrakter, model clauses, databehandleraftaler Specifik databehandleraftale Generel databehandleraftale Delt ansvar EU-modelkontrakt, hvis der sendes persondata uden for EU/EØS 9

10 Håndtering af persondata internt i virksomheden Databehandleraftale Hvis der udveksles persondata med andre selskaber i koncernen/gruppen EU Modelkontrakt Hvis der udveksles data udenfor EU/EØS Skal indgås fra selskab til selskab Skal anmeldes til Datatilsynet Binding Corporate Rules Én og samme måde at håndtere persondata i hele koncernen eller gruppen der må ikke være afvigelser Består af ens politikker, regler og kontroller/ opfølgning Primært større virksomheder der udveksler persondata med globale selskaber i koncernen/ gruppen Skal forhåndsgodkendes af Datatilsynet 10

11 ISO27001 ledelsessystem for informationssikkerhed Certificering af ledelsessystem Krav til ledelsessystemet i kap Krav om efterlevelse til offentlige myndigheder Best practise for private virksomheder FIT og ikke privacy Link bl.a. til art. 32 Beredskabs styring Risikohåndtering Risikovurdering ISO ISMS Governance Ledelsesforankring Certificering Leverandørstyring Sikkerhedspolitik (ker) 11

12 ISO 2700x styring af informationssikkerhed 12

13 Erklæringer

14 Erklæringsforholdet ansvarlig Databehandler Revisor Data- 14

15 Parterne i et erklæringsforhold Kunde Kundes revisor Intern revision Kontrakt Leverandør Intern revision Leverance Leverandørs revisor 15

16 Rollerne Kunde Leverandør Jurister Management Kontrakt Jurister Management Daglig ledelse Daglig ledelse Medarbejdere Medarbejdere Revisorer Revisorer 16

17 Evaluering af resultat Fastlæggelse af kontrolmål Fastlæggelse af kontrolaktiviteter Aftale om kontrolmål og -aktiviteter Test Resultat Afklaring og prioritering Evaluering af kontrolmål og -aktiviteter Evaluering af resultat Revision Forløb for opbygning af erklæringer Kunde og revisor Leverandørs revisor Leverandør 17

18 Processen i år 1 og frem Planlægningsmøde/evalueringsmøde Fælles: Vurdering af, om der er behov for ændring af kontrolmål og kontroller. Afgivelse af erklæring Serviceleverandørs revisor: Test af kontroller, beskrivelse af revisionens resultatet og udformning af en samlet konklusion. Udarbejdelse af liste over revisionsbemærkninger. Serviceleverandør: Evaluering af revisionens resultat og udformning af ledelseserklæring. Evaluering og fastlæggelse af plan of action for revisionsbemærkninger. Modtagelse af erklæring Kunde og kundes revisor: Gennemgang af erklæring og vurdering af en samlet konklusion. Vurdering af revisionsbemærkninger samt behov for kompenserende revisionshandlinger. Vurdering af et samlet revisionsbevis for området. Rapportering til ledelsen. Opfølgning på revisionsbemærkninger Serviceleverandør: Løbende opfølgning og rapportering til kunden og kundens revisor. 18

19 ISAE 3402 erklæringer Opbygning 1. Serviceleverandørens udtalelse 2. Serviceleverandørens beskrivelse af systemet 3. Revisors erklæring 4. Kontrolmål, test og resultat heraf 5. Andre oplysninger, herunder bl.a. kontroller hos brugervirksomheden 19

20 1. Serviceleverandørens udtalelse Retvisende beskrivelse af serviceleverandørens system, der var udformet og implementeret, herunder: De typer af ydelser, der er leveret: Processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle, og om nødvendigt korrigere transaktioner, samt overføre disse Relevante kontrolmål og kontroller, udformet til at nå disse mål Kontroller, som er forudsat udført kunderne Andre aspekter som har været relevante for behandlingen og rapporteringen af transaktioner Relevante oplysninger om ændringer i perioden Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne kontrolsystem 20

21 1. Serviceleverandørens udtalelse (fortsat) Bekræfte at de kontroller, som knytter sig til de kontrolmål, der er anført i beskrivelsen, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden De risici, som truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret De identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden. 21

22 2. Serviceleverandørens beskrivelse af system X Beskrivelsen kan opbygges således: Indledning kort om Leverandør A/S Beskrivelse af ydelserne der er omfattet af erklæringen overordnet om hvad ydelserne går ud på, hvordan de leveres, og under hvilke standardbetingelser Kontrolmiljø: - Ledelsesstruktur - Organisering - HR/uddannelse - Væsentlige overordnede politikker og forretningsgange - Ansvarsfordeling Risikostyring Proces for gennemførelse heraf, og respons herpå 22

23 2. Serviceleverandørens beskrivelse af system X (fortsat) Information og kommunikation Opbygning af intern kommunikation Proces for udarbejdelse af rapportering og anden kommunikation til/med kunder Overvågning Leverandør A/S egne aktiviteter til opfølgning på, om kontrolaktiviteterne bliver udført Kontrolaktiviteter Overordnet beskrivelse Komplementerende kontroller De forudsætninger som Leverandør A/S har gjort, vedrørende kundernes ansvar, med henblik på at kunne nå en samlet overbevisning om at kontrolniveauet er tilfredsstillende 23

24 3. Erklæringens indhold Serviceleverandørens revisor Serviceleverandørens revisors erklæring, der: - giver høj grad af sikkerhed om de af serviceleverandøren anførte forhold - indeholder en beskrivelse af de udførte test af kontroller og resultaterne heraf 24

25 4. Kontrolmål, kontroller, test og resultat heraf Kontrolmål A XX kontrol test Resultat af test XX kontrol A.1 test A.1.a test A.1.b test A.1.c test resultat A.1.a test resultat A.1.b test resultat A.1.c XX kontrol A.2 test A.2 test resultat A.2 XX kontrol A.n test A.n test resultat A.n 25

26 GDPR-specifikke erklæringer 26

27 Erklæringens opbygning/indhold ISAE 3000 ISAE 3402 ISRS 4400 Beskrivelse af leverandørens system Valgfrit Obligatorisk Valgfrit Leverandørens udtalelse Valgfrit Obligatorisk N/A Beskrivelse af kontrolmål Valgfrit Obligatorisk Valgfrit Beskrivelse af kontrolaktiviteter Valgfrit Obligatorisk Valgfrit Beskrivelse af testhandlinger Obligatorisk Obligatorisk Obligatorisk Beskrivelse af resultatet af de enkelte testhandlinger Samlet konklusion i revisors erklæring Valgfrit Obligatorisk Obligatorisk Obligatorisk Obligatorisk N/A Grad af sikkerhed Begrænset eller høj Høj N/A 27

28 GDPR Forslag til erklæring Cybersikkerhedsudvalget har udarbejdet et eksempel på en erklæring om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger. For virksomheder (private og offentlige), som har outsourcet driften af systemer, der indeholder persondata, eller selve behandlingen af personoplysninger til en leverandør, vil det ofte være relevant at indhente en revisorerklæring fra denne leverandør, for derved at kunne dokumentere og påvise overholdelsen af den kommende persondataforordning. 28

29 Erklæringens indhold 29

30 Kontrolmål og kontroller 30

31 Hvad hvis cloud? 31

32 Service organisation controls report Report Standard Controls Framework Distribution SOC 1 SSAE 16/18 Internal Controls over Financial Reporting SOC 2 AT 101 Security, Availability, Confidentiality, Processing integrity, Privacy N/A Trust services User auditor/ management, and SO management Knowledgable parties SOC 3 AT 101 As SOC 2 As SOC 2 Anyone 32

33 SOC 2 og 3 trust principles and criterias 33

34 Spørgsmål Jess Kjær Mogensen T: M: Charlotte Pedersen T: M:

35 Få ekstra værdi med s app Med s app Ekstra værdi kan du fx nemt tilmelde dig vores events, downloade eventmateriale på din smartphone eller tablet samt meget mere: Søg på Ekstra værdi i App Store Kontakt Events Nyheder Udgivelser Kurser Er du kunde i, er der endnu mere at hente... 35

36 Succes skaber vi sammen... Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.