Det Digitale Folkebiblioteks it-revisionserklæring

Læs it-revisionserklæring vedrørende Det Digitale Folkebiblioteks behandling af personoplysninger som databehandler.

Baggrund for it-revisionen

Det Digitale Folkebibliotek skal som databehandler ifølge de indgåede databehandleraftaler én gang årligt indhente en it-revisionserklæring om overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for de dataansvarlige bibliotekskommuner.

Det Digitale Folkebibliotek indhenter hvert år en ISAE 3000 type II-erklæring for perioden 1. januar til 31. december det forudgåede år. Det Digitale Folkebibliotek offentliggør her revisionserklæringerne, der er udfærdiget af den GDPR-certificerede it-revisionsvirksomhed Grant-Thornton (tidligere REVI-IT).

ISAE 3000-erklæringen er udviklet af FSR – Danske revisorer i tæt samarbejde med Datatilsynet, der er kommet med bemærkninger til erklæringens udformning og indhold. Erklæringen skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler for beskyttelse af personoplysninger. Erklæringen bygger i et vist omfang på Datatilsynets skabelon til databehandleraftaler.

It-revisionserklæringerne fremsendes direkte til de dataansvarlige bibliotekskommuner, men kan også læses her. Erklæringen for 1. januar – 31. december 2024 er under udarbejdelse og fremsendes til kommunerne og offentliggøres her i foråret 2025.

Læs IT-revisionserklæring for 2023 (december 2024)

Læs IT-revisionserklæring for 2022 (november 2023)

Læs IT-revisionserklæring for 2020-2021 (januar 2022)

Det Digitale Folkebibliotek har valgt modellen med samlet it-revisionserklæring for databehandler og tilknyttede underdatabehandlere, hvorefter der udfærdiges en it-revisionserklæring, som omfatter både databehandleren Det Digitale Folkebiblioteks og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for bibliotekskommunerne.

Hvis der i revisionserklæringen er taget forbehold over for visse kontrolmål, eller der er konstateret væsentlige afvigelser, kan bibliotekskommunen ved konkret instruks til Det Digitale Folkebibliotek bede om supplerende oplysninger om forbeholdet eller afvigelserne, en plan for forbedring af behandlingssikkerheden etc.

Det Digitale Folkebibliotek vil dog typisk kommentere den årlige it-revisionserklæring og meddele planer for opfølgende tilsyn og foranstaltninger, hvis der er givet forbehold eller konstateret væsentlige afvigelser i revisionserklæringen.

Kommentarerne vedrørende erklæringen for 1. januar – 31. december 2023 fremgår af sektion 5 i erklæringen. Bibliotekskommunerne kan endvidere indhente uddybende kommentarer hos Det Digitale Folkebibliotek, samt få fremsendt foreningens handlingsplan.

Når Det Digitale Folkebibliotek ifølge de indgåede databehandleraftaler har forpligtet sig til årligt at indhente en ISAE 3000-revisionserklæring, er det for på én gang mere definitivt at efterkomme de dataansvarlige kommuners kontrol i forbindelse med deres tilsyn med Det Digitale Folkebibliotek som databehandler.