GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Transkript

1 Claus Hartmann Lund september 2018 Revision. Skat. Rådgivning.

2 Hvad kan jeg gøre? Den dataansvarlige: Drøft behandling af persondata identificér behov for erklæring fra eksterne databehandlere Databehandleren: Drøft kundernes behov for erklæring Generel erklæring Specifik erklæring eks. særlige kategorier af persondata 2

3 Agenda Hvad er nyt? Hvad er vores foreløbige erfaringer med GDPR/databeskyttelseserklæringer? 3

4 Hvad er nyt? Datatilsynet har offentliggjort: Danske vejledninger fortolkning af forordningens artikler Danske skabeloner Databehandleraftale Skabelon for iagttagelse af oplysningspligten og indsigtsretten Skabelon til en aftale om fælles dataansvar Vejledninger mv. fra Det Europæiske Databeskyttelsesråd Mulighed for anmeldelse af brud persondatasikkerheden (via Virk.dk) 4

5 Data Privacy uncertainties our client s stakeholders are facing Executive Management Data Protection Officer Privacy Authority Audit Committee & Compliance Management Clients Society Which reputational and financial risks do we face? Should we re-design our services like Marketing? Is everyone committed to our privacy policies and procedures? Can they demonstrate their full accountability? How can we implement GDPR in our control framework? How do we periodically assess our GDPR compliance? Will they expose me to reputational risk if they violate our data processing agreement? Is my private data in safe hands? 5

6 Data Privacy trust services portfolio Low Health Check Health Check on current privacy status based on GDPR principles Point in Time Assessment Period of Time Assessment Readiness assessment Certification Assurance design, implementation of controls Assurance design, implementation and operating effectiveness of controls Readiness assessment on GDPR related policies, procedures & controls in-place, incl. specific requirements Issuance of an ISO Privacy Management System certificate (ISO certificate is under construction and therefore not yet available) Providing assurance about the design suitability and implementation of GDPR related criteria and controls (as agreed with the data owner, processor or regulator) Providing assurance about the design suitability implementation and operating effectiveness GDPR related criteria and controls (as agreed with the data owner, processor or regulator) GDPR Compliance Trust Index High 6

7 Data Privacy/GDPR erklæringsforholdet Afgiver (Databehandler) Revisor Modtager (Dataansvarlig) 7

8 Rettesnor for valg af den rette erklæring START Er der tale om et trepartsforhold? NEJ INGEN ERKLÆRING JA NEJ Er erklæringsemnet og kriterier for erklæringen egnede? NEJ Kræver kunden at revisor foretager test af erklæringsemnet? JA Udføres kontrollerne af en virksomhed som er underlagt Systemrevisionsbekendtgørelsen? NEJ Er erklæringsemnet applikationskontroller som er relevante for modtagerens interne kontrol vedrørende regnskabsaflæggelsen? JA JA Skal der afgives erklæring med sikkerhed? JA NEJ JA ISRS4400 Aftalte arbejdshandlinger NEJ Er erklæringsemnet generelle itkontroller som er relevant for modtagerens interne kontrol vedrørende regnskabsaflæggelsen? JA Skal der afgives erklæring med sikkerhed? JA Ønsker kunden specifikt en ISAE3402 erklæring? NEJ JA NEJ ISAE3402 Erklæringsopgaver med sikkerhed om kontroller hos en serviceorganisation ISAE3000 Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning NEJ 8

9 GDPR FSR forslag til erklæring FSR s Cybersikkerhedsudvalg har udarbejdet et erklæringseksempel om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger. For virksomheder (private og offentlige), som har outsourcet drift af systemer, der indeholder persondata, eller selve behandlingen af personoplysninger til en leverandør, vil det ofte være relevant at indhente en revisorerklæring fra denne leverandør for derved at kunne dokumentere og påvise overholdelse af den kommende persondataforordning. 9

10 Erklæringens indhold Fastlæg sammen med databehandler hvilke artikler som er relevante for erklæringen - Brug scopingoversigten i vejledningen som inspiration - Få den dataansvarliges accept af omfanget Gennemgå databehandlers systembeskrivelse Få indsigt i de faktiske kontroller som er implementeret hos databehandler for de artikler som er i scope de anførte kontroller og revisionshandlinger i templaten er alene til inspiration 10

11 GDPR Alternativ erklæring ud fra databehandleraftale Med udgangspunkt i databehandleraftale og instruks uddrages: kontrolmål kontrolaktiviteter og der udarbejdes en revisorerklæring herom. 11

12 Erklæringens indhold Primært rettet mod mindre databehandlere med ensartet behandlingsaktiviteter eller kundespecifikke erklæringer Gennemgå databehandlers systembeskrivelse Få indsigt i de faktiske kontroller som er aftalt mellem den dataansvarlige og databehandler. 12

13 Diskussionsoplæg Assurance i forhold til kontroller rettet mod databeskyttelse og håndtering af persondata kan alene ske efter ISAE 3000 standarden. 13

14 SOC 2 The structure of the SOC2 report is similar to the ISAE 3402 reports Only reasonable assurance Type I and Type II The minimum period is not specifically stated (minimum reporting period of three months is advised) Report must include a description of the system and includes a description of the service auditors testing and results Limited distribution 14

15 AICPA: Service Organization Controls Report Report Standard Controls Framework Distribution SOC 1 SSAE 16 (ISAE 3402) SOC 2 AT 101 (ISAE 3000) SOC 3 AT 101 (ISAE 3000) Internal Controls over Financial Reporting Security/ Systems, Privacy Security/ Systems, Privacy N/A Trust Principles and Criterias Trust Principles and Criterias User mgt./auditor and SO mgt. Known parties Anyone 15

16 SOC 2 og 3 Trust Principles and Criterias 16

17 Spørgsmål? 17

18 Hvis I vil vide mere... Claus Hartmann Lund Partner, statsaut. Revisor, CISA T M E claus.hartmann.lund@pwc.com Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.