Derfor skal du vælge en hosting- og cloud leverandør med en ISAE3402 revisorerklæring

EU’s persondataforordning anbefaler, at man benytter certificerede databehandlere, når man får behandlet persondata ‘ude af huset’. Det kan f.eks. være hos en hosting- og cloud leverandør.

Databehandlere er virksomheder, som behandler persondata på vegne af andre. Det kan være hostingudbydere, online løn-, og økonomisystemer, netbank osv. Er jeres IT-systemer og drift lagt ud til en hosting- og cloud leverandør, behandler de jeres persondata. De er derfor databehandlere. I har som virksomhed stadig ansvaret for jeres data og er derfor dataansvarlig.

Når I indgår en aftale med en databehandler, skal I lave en databehandleraftale. Det er et juridisk dokument, som beskriver de krav, som I stiller til databehandleren når de behandler jeres persondata.
Med aftalen overdrager I ikke ansvaret for jeres persondata, men opstiller blot krav til hvordan de skal behandles.

Selvom I har indgået en databehandleraftale, er det ingen garanti for at databehandleren passer på jeres persondata. Det betyder f.eks., at I ved et hackerangreb, hvor databehandleren har sløset med IT-sikkerheden, bærer en del af ansvaret og derfor risikerer en bøde. Helt op til 20 mio. Euro eller 4% af koncernomsætningen.
Derfor er det vigtigt at man kan stole på sin databehandler. Og derfor anbefaler persondataforordningen at man benytter certificerede databehandlere. En certificering kan være en ISAE3402 revisorerklæring. Det er den som er mest udbredt i Danmark.

En ISAE3402 revisorerklæring omhandler databehandlerens IT-sikkerhed. Den kræver en årlig IT-revision. Under revisionen gennemgås politikker, procedurer og kontroller minutiøst for at se om de bliver overholdt. Det er et stort arbejde at få en ISAE3402 revisorerklæring men betyder at I som kunde har en sikkerhed for at ”det de siger de gør – er det som de gør”. Så når databehandleren siger, at de passer på jeres persondata, så et det rent faktisk det, som de gør.
ITSecurity har en ISAE3402 revisorerklæring, som er udstedt af revisionsfirmaet BDO.