SISCON Revisorerklæringer om Privacy Claus Thaudahl Hansen 15. September 2016
Changes in standards within the market Technology-related forces 2. Increased dependency on service organizations 1. Technology advances 3. Heightened cybersecurity and other risks 6. New and modified professional standards Customers needs 4. Evolving laws and regulation Risk-related forces 5. Increased focus on vendor risk management Page 1
Revisor erklæringer om Privacy Det historiske perspektiv Erklæringer med et noget forskelligt indhold Nogle erklæringer meget målrettet specifikke krav i persondataloven og tilhørende bekendtgørelse m.v. Andre erklæringer har ligget tæt på vurdering af generelle it-kontroller, hvor fokus har været integrity, availablity og confidentiality Erklæringer har været afgivet efter ISAE 3000 standarden GDPR og det nye initiativ fra FSR danske revisorer Behov for ensartede erklæringer forsat efter ISAE 3000 standarden Arbejdsgruppe på tværs af revisionsfirmaer Mål at opnå en struktur, der vurderer processer og kontoller ift. forordningens artikler. Page 2
Revisor erklæringer om Privacy GDPR og det nye initiativ fra FSR danske revisorer Udkast til erklæring foreligger i version 0.9 Kan først blive færdig, når Danmark har taget stilling de landespecifikke forhold Opbygningen af erklæringen Udtalelse fra serviceleverandørens ledelse Udtalelse fra revisor Beskrivelse af den service, der stilles til rådighed hvordan virker det Oversigt over processer og tilhørende kontroller med angivelse af udførte test og resultat heraf. Samarbejde med intern revision om erklæringerne Fint muligt på samme måde som i dag Den videre proces med udkastet I høring hos ESL, ISACA og IA m.fl. Page 3
Revisor erklæringer om Privacy Eksempel fra udkast til erklæring om GDPR Principper for behandling af personoplysninger (artikel 5) Kontrolmål: Der efterleves procedurer og kontroller som sikrer, at indsamling, behandling og opbevaring af personoplysninger sker i overensstemmelse med principperne for behandling af personoplysninger Nr. Databehandlerens kontrolaktivitet Revisors udførte test Resultat af Revisors test 1 Der foreligger skriftlige procedurer, som opdateres mindst en gang årligt, hvori der er taget stilling til følgende principper for behandling af personoplysninger: Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Dataminimering Rigtighed Opbevaringsbegrænsning Inspiceret skriftlige procedurer for behandling af personoplysninger for at sikre, at disse er opdateret og omfatter principper for behandling af personoplysninger. Integritet og fortrolighed. 2 Der er foretages løbende - og mindst en gang årligt - vurdering af at principper for behandling af personoplysninger overholdes, og denne vurdering er dokumenteret. 3 Ledelsen har behandlet og godkendt vurderingen af overholdelse af principperne for behandling af personoplysninger, herunder kontrol af andre anvendte databehandlere. Inspiceret dokumentation for vurdering af principper for behandling af personoplysninger for at sikre, at der minimum en gang årligt, foretages vurdering af principper for behandling af personoplysninger samt overholdelsen af disse. Inspiceret dokumentation for ledelsesgodkendelse af vurderingen af overholdelse af principper for behandling af personoplysninger. Page 4
Kontakt oplysninger Claus Thaudahl Hansen Mobil 25 29 36 39 Claus.t.hansen@dk.ey.com Page 5