www.pwc.dk Persondataforordningen Erklæringer - omfang og værdi August 2016 Revision. Skat. Rådgivning.
Persondataforordningen 2
Agenda Erklæringsforholdet og erklæringsbehovet Erklæringens indhold Et kig i krystalkuglen 3
Erklæringsforholdet Afgiver Revisor Modtager 4
Erklæringsforholdet ansvarlig Databehandler Revisor Data- 5
Hvorfor er der behov for erklæringer? Risikobestemt virksomhedens (den dataansvarlige) risikovurdering medfører behov for erklæring Kontraktsbestemt kontrakten mellem dataansvarlig og databehandler indeholder krav om erklæring Lov- / branchebestemt Finansiel sektor - Finanstilsynets outsourcingbekendtgørelse: Behandling af persondata sker som en del af den/de væsentlige aktivitetsområder, som er underlagt Finanstilsynets tilsyn 6
Forslag til erklæring 7
Inspirationskatalog over kontroller 8
Erklæringens opbygning/indhold ISAE 3000 ISAE 3402 ISRS 4400 Beskrivelse af leverandørens system Valgfrit Obligatorisk Valgfrit Leverandørens udtalelse Valgfrit Obligatorisk N/A Beskrivelse af kontrolmål Valgfrit Obligatorisk Valgfrit Beskrivelse af kontrolaktiviteter Valgfrit Obligatorisk Valgfrit Beskrivelse af testhandlinger Obligatorisk Obligatorisk Obligatorisk Beskrivelse af resultat af de enkelte testhandlinger Samlet konklusion i revisors erklæring Valgfrit Obligatorisk Obligatorisk Obligatorisk Obligatorisk N/A Grad af sikkerhed Begrænset eller Høj Høj N/A 9
Erklæringens indhold 10
Erklæringens indhold og de faktiske forhold 11
Kontrolmål og kontroller 12
Et kig i krystalkuglen 13
AICPA: Service Organization Controls Report Report Standard Controls Framework Distribution SOC 1 SSAE 16 (ISAE 3402) SOC 2 AT 101 (ISAE 3000) SOC 3 AT 101 (ISAE 3000) Internal Controls over Financial Reporting Security/ Systems, Privacy Security/ Systems, Privacy N/A Trust Principles and Criterias Trust Principles and Criterias User mgt./auditor and SO mgt. Known parties Anyone 14
SOC 2 og 3 Trust Principles and Criterias 15
Adfærdskodeks og certificering Adfærdskodeks: Det opfordres til at medlemslandene udarbejder adfærdskodekser, som godkendes af nationale tilsynsmyndigheder og evt. Kommissionen Brancher eksempelvis telecom, finansiel virksomhed, sundhedssektoren, offentlig forvaltning mv. Små og mellemstore virksomheder Kontrol af overholdelse af adfærdskodeks af et et organ, der har et passende ekspertiseniveau (artikel 41) Certificering foretaget af et organ, der har et passende ekspertiseniveau.. (artikel 42/43) 16
Spørgsmål? 17
Hvis I vil vide mere Claus Hartmann Lund Partner, statsaut. Revisor, CISA T 3945 3089 M 2494 4657 E clu@pwc.dk Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2016 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.