Hva er ISAE 3000 – og hvordan kan det hjelpe deg med ditt GDPR-arbeid?

Emilie Mongstad Grenth
By: Emilie Mongstad Grenth GDPR | 28 september

I dag bruker de fleste bedrifter tjenester fra eksterne tjenesteytere til å behandle data. Når persondata behandles må bedrifter overholde GDPR, og her er en ISAE 3000-rapport kjekk å ha. Rapporten bekrefter at dataene oppbevares sikkert og privat under hele behandlingen. Les videre for å lære hvordan ISAE 3000-rapporter kan brukes til å bygge tillit og troverdighet mellom organisasjoner.  

Her får du svar på: 

Hva er ISAE 3000?

Hvem trenger en ISAE 3000-rapport?

Hvem utsteder en ISAE 3000-rapport?

Hva er fordelene med en ISAE 3000-rapport?

Bør du vurdere en ISAE 3402-rapport eller ISO 27001-sertifisering?

Hva er ISAE 3000? 

Du lurer kanskje på hva ISAE 3000 er. Den formelle forklaringen er at det er en standard for beskyttelse av ikke-finansielle opplysninger, utstedt av International Federation of Accountants (IFAC). Rapporten er en intern kontrollerklæring som fokuserer på de kontrollrutinene til en tjenesteleverandør som er relevante for sikkerhet, tilgjengelighet, behandlingsintegritet og personvern. En enklere forklaring er at det er et godkjenningsstempel for din bedrift som sier at dere og de systemene dere bruker behandler data rett og i overenstemmelse med personvernforordningen (GDPR).

ISAE 3000 anerkjenner to typer rapporter:  

  • Type 1-rapporten beviser at din bedrift har de riktige prosedyrer og kontroller på plass. En ekstern revisor rapporterer om at de rutinene dere har er passende for den virksomhet dere bedriver. 

  • Type 2-rapporten beviser at din bedrift følger egne prosedyrer og kontroller. Det innebærer at en ekstern revisor kontrollerer at bedriften din følger prosedyrene og kontrollene fra type 1-rapporten. Bedrifter får altså gjerne en type 1-rapport før en type 2-rapport.  

Et eksempel på en kontroll kan være sikker sletting av data. En slik kontroll beskriver bedriftens rutiner for å slette data. Faktorer som kan inngå i kontrollen er hvordan bedriften sikrer at eierne har full kontroll over dataene, at gammel data slettes på en måte som gjør den umulig å gjenopprette og at fysiske versjoner ødelegges. Kanskje velger bedriften din å outsource denne oppgaven? Da er det viktig å vite at datadestrueringen foregår i tråd med GDPR. Hvis selskapet du outsourcer til har en ISAE 3000-rapport har du en garanti for at de følger GDPR i sine prosesser. 

Hvem trenger en ISAE 3000-rapport? 

Nå spør du kanskje deg selv: “Når trenger jeg en ISAE 3000-rapport?”. Svaret er at du burde vurdere å få en slik rapport hvis bedriften din er en tjenesteleverandør og andre bedrifter outsourcer viktige oppgaver til dere hvor prosessene må være i tråd med lovene for databehandling. Bedrifter vil at selskapene de outsourcer til har ordentlige prosedyrer, logger, sikkerhetskopier og en endringsledelse som fungerer. En ISAE 3000-rapport er en forsikring for andre bedrifter om at selskapet ditt har godt fungerende sikkerhetstiltak. 

ISAE 3000 passer for bedrifter som tilbyr outsourcede tjenester, slik som:  

  • Kapitalforvaltere 

  • Leverandører av pensjonstjenester 

  • SaaS-leverandører 

  • Leverandører av infrastruktur som en tjeneste 

  • Leverandører av digitale plattformer som en tjeneste 

  • Leverandører av datasentre  

  • Leverandører av skytjenester  


Hvem utsteder en ISAE 3000-rapport? 

ISAE 3000-rapporten utarbeides gjennom en ekstern revisjon. Revisjonen gjennomføres av en tredjepart, det vil si et profesjonelt revisjonsfirma som passer at prosedyrene følger GDPR. Rapporten lages altså ikke av den tjenesteytende bedriften selv. Dette er bra, da det gir rapporten kredibilitet. Rapporten gir også deg som tjenesteleverandør en bekreftelse at din bedrift tilbyr tjenester og systemer som overholder gode standarder og at dere lever opp til ansvaret som databehandler 

New call-to-action

Fordelene med en ISAE 3000-rapport 

Når en bedrift har en ISAE 3000-rapport sender det ut et signal om at bedriften behandler data med integritet og konfidensialitet. Bedriften viser også at dataene de behandler blir dokumentert slik at potensielle risikoer kan oppdages og at en tredjepart har bekreftet at bedriften håndterer data i tråd med GDPR. Alt dette bidrar til å gi kundene den bekreftelsen de trenger på at systemene og tjenestene som brukes har høye sikkerhetsstandarder, vurderer risikoer effektivt og har utmerket kvalitetskontroll.  

Tillit: 

Når du inngår en avtale med en bedrift som har en ISAE 3000-rapport, vil relasjonen deres være basert på tillit, siden du vet at en ekstern tredjepart som fører tilsyn med dem. 

Troverdighet: 

Det er en ekstern revisor, og ikke selskapet selv, som utarbeider rapporten, og dette gjør rapporten troverdig. Rapporten inneholder også all informasjon du trenger for å forstå hvordan dine data behandles. Den inkluderer en nøyaktig beskrivelse av hvordan dataen behandles innenfor retningslinjene og med hvilket formål. Alt dette dokumenteres av en kvalifisert tredjepart.  

Håndtering av databrudd: 

Når man arbeider med data, vil det alltid være en risiko for databrudd. Det kan forekomme hendelser hvor dataene dine er tilgjengelige for mennesker som ikke burde ha tilgang på dem. Når slike databrudd skjer, må et selskap følge et sett med retningslinjer for å gjenopprette og reparere dataen. En ISAE 3000-rapport garanterer at selskapet har riktige prosedyrer for håndtering av databrudd på plass, ettersom man ikke kan få rapporten med mindre man har gode prosedyrer som kontrolleres jevnlig.  

Standarden er satt: 

Alle bedrifter og organisasjoner skal følge de samme standardene, men det betyr ikke at alle gjør det. En ISAE 3000-rapport er en bekreftelse fra en ekstern revisor om at en virksomhet lever opp til visse standarder. Den forsikrer også om at kundene vil bli varslet dersom det blir gjort noen endringer i behandlingsprosedyrene. Du vil alltid være oppdatert på endringer og vite hva som foregår siden rapporten gir fullt innsyn i kontrollene og prosessene.  

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

Bør du vurdere en ISAE 3402-rapport eller ISO 27001-sertifisering?

En ISAE 3000-rapport er ikke den eneste måten å vise at du følger GDPR. Du kan blant annet vurdere om du ønsker en ISO-sertifisering eller en revisjonsrapport, og i så fall hva slags revisjonsrapport. Selv om ISAE 3000-rapporten er den som retter seg mest mot GDPR, er flere bedrifter også interessert i ISAE 3402-rapporten og ISO 27001-sertifiseringen.  

  • ISAE 3402-rapporten omhandler bedriftens prosesser og fysiske forhold. Den forsikrer om at det ikke er noen nedetid på serverne, at det er sikkerhetskopier og prosedyrer for sikkerhetskopiering, loggføring, strøm og lignende. Sammenlignet med ISAE 3000 fokuserer ISAE 3402 mer på økonomiske transaksjoner og at den daglige virksomheten og IT-leveransene utføres korrekt.  

  • Hensynet med ISO 27001 er å beskytte verdifull og personlig data, for å igjen skape god IT-sikkerhet. ISO 27001-sertifiseringen har flere krav til dokumentasjon og daglig drift enn en revisjonsrapport krever. Det er ofte større organisasjoner som sikter på en slik komplett sertifisering.

Vi vet at det kan føles overveldende å lære om alle disse forskjellige standardene og rapportene, men om du ønsker å gå mer i dybden på dette kan du ta en titt på CyberPilots omfattende guide om hva ISO 27001 og ISAE 3402 er 

Oppsummering: 

ISAE 3000-rapporten garanterer at et selskap behandler data riktig og i tråd med GDPR. Den inneholder blant annet rutiner for databrudd. Rapporten er upartisk da det er en nøytral tredjepart som utarbeider den. Hvis din bedrift enten outsourcer oppdrag eller utfører oppgaver som andre bedrifter outsourcer, er ISAE 3000 et verdifullt bevis som medfører mange fordeler for dere.