Vad ISAE 3000 är och hur det kan hjälpa ditt GDPR-arbete

Emilie Mongstad Grenth
By: Emilie Mongstad Grenth GDPR | 12 september

Idag använder de flesta organisationer tjänster från externa tjänsteleverantörer för att behandla data. När personuppgifter behandlas måste organisationerna följa GDPR. Det är här en ISAE 3000-rapport kan komma till nytta. ISAE 3000-rapporten bekräftar att uppgifterna hålls privata och säkra under behandlingen samtidigt som det är tillgängliga hela tiden. Läs vidare för att ta reda hur ISAE 3000-rapporter kan användas för att skapa förtroende och trovärdighet mellan organisationer.

Här kan du läsa om:

Vad är ISAE 3000?

Vem behöver en ISAE 3000 rapport?

Vem utfärdar en ISAE 3000 rapport?

Fördelarna med en ISAE 3000 rapport

Övervägande mellan en ISAE 3402-rapport och en ISO 27001-certifiering

 

Vad är ISAE 3000? 

Du undrar säkert vad ISAE 3000 är. Enligt den formella förklaringen är ISAE 3000 en standard utfärdad av den globala organisationen International Federation of Accountants (IFAC) för att skydda icke-finansiell information. ISAE 3000 är en raport om intern kontroll med särskild fokus på tjänsteleverantörer som arbetar inom säkerhet, tillgänglighet, behandlingsintegritet och sekretess.  

En enklare förklaring är att det är en godkännandestämpel för din organisation som säger att du och de system du använder behandlar data korrekt och att din organisation efterlever GDPR 

ISAE 3000 erkänner två typer av rapporter:   

  • Typ 1-rapporten bevisar att din organisation har rätt kontroller och processer. En extern revisor rapporterar därefter om att de kontroller och proecesser som din organisation utför är lämpliga för den verksamhet som ni bedriver.  
  • Typ 2-rapporten bevisar att din organisation följer de kontroller och processor som finns. Även detta kontrolleras av en extern revisor. De flesta organisationer börjar därför med rapport 1 och utför därefter rapport 2.   

Ett exempel på en kontroll kan vara dataminimering. I detta fall beskriver kontrollen hur företagets processer för dataminimering går till. Faktorer som kan ingå i kontrollen är hur företaget följer kraven och garanterar att enbart nödvändig data samlas in, att datan behandlas regelbundet och raderas systematiskt. Kanske väljer ditt företag att outsourca denna uppgift? Då är det viktigt att veta att verksamheten som utför dataminimeringen åt er gör det i enlighet med GDPR. Ifall verksamheten har en ISAE 3000-rapport har du en garanti på att de följer GDPR i sina processer.  

Vem behäver en ISAE 3000 rapport? 

Du tänker säkert "när behöver jag en ISAE 3000-rapport?"

Du behöver tänka på att skaffa en ISAE 3000-rapport om din organisation är en leverantör och andra organisationer outsourcar uppgifter till dig där processerna måste ske i enlighet med lagen om databehandling. Företag vill att de verksamheter som de anlitar för att utföra tjänster har ordentliga processer, loggar, säkerhetskopior och en fungerande ändringshantering. En ISAE 3000-rapport är en försäkran för dina kunder att ditt företag har säkerhetsåtgärder som fungerar effektivt.   

ISAE 3000 kan vara rätt för företag som tillhandahåller outsourcade tjänster, såsom:  

  • Kapitalförvaltare  
  • Leverantörer av pensionstjänster  
  • SaaS-leverantörer  
  • Leverantörer av infrastruktur som en tjänst  
  • Leverantörer av digitala plattformar som en tjänst  
  • Leverantörer av datacenter  
  • Leverantörer av molnhosting 

Vem utfärdar en ISAE 3000 rapport? 

ISAE 3000-rapporten upprättas av en extern revision. Revisionen utförs av en tredje part, dvs. ett professionellt revisionsföretag som ser till att handlingarna följer GDPR. Detta är bra eftersom det innebär att det inte är företagen som utvärderar sig själva, utan en opartisk extern revisor, vilket ger rapporten trovärdighet.

Rapporten ger dig således ett intyg på att din organisation erbjuder tjänster som följer goda standarder och lever upp till ansvaret som personuppgiftsbiträde.  

Smart CTA Risk SE

Fördelarna med en ISAE 3000-rapport 

Efter att en organisation blivit godkänd och utdelats ISAE 3000-rapporten sänder de ett budskap om att deras organisation behandlar data med integritet och konfidentialitet. De uppgifter som företaget behandlar dokumenteras så att de kan fånga upp potentiella risker. Det är dessutom en stor fördel att kunna visa att en tredjepart har gett sitt godkännande för att företaget behandlar personuppgifter i enlighet med GDPR.  Allt detta bidrar till att ge kunderna den försäkran de behöver om att din organisation använder system och tjänster som har höga säkerhetsstandarder, bedömer risker effektivt och har en utmärkt kvalitetskontroll.   

Förtroende:  

När du ingår ett avtal med ett företag som har en ISAE 3000-rapport, kan du försäkra dig om att erat förhållande kommer att bygga på förtroende, eftersom du vet att det finns en tredje part som övervakar deras processer.   

Trovärdighet:   

Att det är en extern revision som reviderar betyder att det inte är företaget själva som gör rapporten, vilket ger verksamheten ökad trovärdighet. Rapporten innehåller all information som du behöver för att förstå och försäkra dig om att ditt företags uppgifter behandlas korrekt. I rapporten finns en exakt beskrivning av hur uppgifterna behandlas inom ramen för bestämmelserna och med vilket syfte. Allt detta dokumenteras av en kvalificerad tredje part.  

Anmälan om brott:   

När du arbetar med personuppgifter finns det alltid en risk för dataintrång. Det kan hända att dina uppgifter blir tillgänglig för personer som inte borde ha tillgång till dem. När dennna typ av brott inträffar måste företag följa en uppsättning riktlinjer för att återställa kontrollen över uppgifterna. ISAE 3000 garanterar att organisationen följer denna typ av process eftersom man endast kan få rapporten om man har en uppsättning processer som regelbundet kontrolleras.  

Standarden är fastställd:   

Alla företag och organisationer måste följa samma standarder, men det betyder inte att alla gör det. Med en ISAE 3000-rapport vet du att det finns en tredjepartsrevision som ser till att verksamheten följer en standard. Du vet också att om det sker förändringar i behandlingsverksamheten kommer detta att meddelas till kunderna. Du kommer således att alltid bli uppdaterad om förändringar och känna till vad som är på gång eftersom ISAE ger insyn i verksamhetens kontroller och behandling.  

En kvinna testar gratis kurser i medvetenhet på sin dator

Övervägande mellan en ISAE 3402-rapport och en ISO 27001-certifiering. 

ISAE 3000 är inte det enda rapporten som visar att GDPR efterlevs. Du kan hamna inför valet mellan en ISO-certifiering eller om du vill ha ett revisionsutlåtande och vilken typ av revisionsutlåtande du i så fall vill ha. Även om ISAE 3000 är det mest GDPR-specifika uttalandet överväger många organisationer även ISAE 3402-rapporten och ISO 27001-certifiering.  

ISAE 3402-utlåtandet rapporterar om processer och fysiska förhållanden och säkerställer att servrar hålls online, att säkerhetskopior finns på plats samt rutiner för säkerhetskopiering, loggning, strömförsörjning med mera. Jämfört med ISAE 3000 fokuserar ISAE 3402 på finansiella transaktioner och säkerställer att den dagliga verksamheten och IT-leveranserna utförs korrekt.  

ISO 27001 är en standard för att skydda värdefulla och personliga uppgifter, och även här handlar det om att skapa en stark informationssäkerhet. ISO 27001-certifieringen innehåller fler krav på dokumentation och daglig verksamhet än vad revisionsutlåtandet faktiskt behöver. Större organisationer väljer ofta en fullständig certifiering.  

Vi vet att allt detta kan kännas överväldigande och det kan kännas svårt att veta vilken typ av rapport just din organisation är i behov av. För att skapa en djupare förståelse rekommenderar vi att du även läser denna guide om ISO 27001 och ISAE 3402

 

Avslutningsvis:

ISAE 3000-deklarationen ger dig, dina samarbetspartners och dina kunder en försäkran om att din verksamhet har och följer processer som garanterar säker behandling av data som sker i enlighet med bestämmelserna för GDPR och att det finns fastsällda riktlinjer för agerande vid överträdelser. Rapporten är opartisk eftersom den har utarbetats av en tredje part. Om du vill outsourca uppdrag, eller om du är en organisation som utför tjänster åt andra företag är ISAE ett godkännande som du bör överväga.