Det Digitale Folkebiblioteks it-revisionserklæring for 2021
Baggrund for it-revisionen
Det Digitale Folkebibliotek skal som databehandler ifølge de indgåede databehandleraftaler én gang årligt indhente en it-revisionserklæring om overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for de dataansvarlige bibliotekskommuner. I år har Det Digitale Folkebibliotek indhentet en ISAE 3000 type II-erklæring for perioden fra 23. december 2020 til 31. december 2021. Det Digitale Folkebibliotek offentliggør hermed revisionserklæringen, der er udfærdiget af den GDPR-certificerede it-revisionsvirksomhed REVI-IT
Læs it-revisionserklæringen her
Konklusionen i it-revisionserklæringen
I it-revisionserklæringen konkluderes det, at i perioden fra 23. december 2020 til 31. december 2021 er beskrivelsen af digitale bibliotekstjenester og -services, således som denne var udformet og implementeret i alle væsentlige henseender retvisende, og kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender hensigtsmæssigt udformet. Det konkluderes desuden, at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, har fungeret effektivt.
For Det Digitale Folkebibliotek som databehandler og ITK som underdatabehandler er der i revisors test i forhold til de i ISAE-3000-erklæringens fastsatte kontrolmål ingen afvigelser konstateret.
Hvorfor er andre centrale underdatabehandlere end ITK ikke testet i forhold til kontrolmålene?
Det fremgår af it-revisors erklæring (side 9), at revisionserklæringen er udarbejdet efter den såkaldte helhedsmetode vedrørende underleverandøren (underdatabehandleren) ITK og efter den såkaldte partielmetode vedrørende de øvrige underleverandører (underdatabehandlere). Nu er anvendelse af helhedsmetoden i it-revisionserklæringer måske mere et dansk fænomen, men forskellen på om helhedsmetoden eller partielmetoden er anvendt vedrørende de omhandlede underdatabehandlere består i, at kontrolmålene og kontrollerne i revisionserklæringen kun omfatter underdatabehandleren ITK og ikke de øvrige underdatabehandlere. Når det således kun er underdatabehandleren ITK’s opfyldelse af kontrolmål og kontroller, der er testet i skemaet med kontrolmålene A til K, skyldes det den hensigtsmæssighedsbetragtning, at de to andre centrale underdatabehandlere (Redia og DBC Digital A/S) begge har fået udarbejdet egne ISAE 3000-revisionserklæringer til brug for deres kunder generelt, og ikke kun til brug for Det Digitale Folkebibliotek. Hvis også resultater af it-revisionens test vedrørende de underdatabehandlere, der selv er blevet it-revideret i henhold til samme type revisionserklæring, også skulle anføres i it-revisionserklæringen vedrørende Det Digitale Folkebibliotek, ville denne revisionserklæring blive uoverskuelig og på punkter skabe tvivl om relevansen af revisionserklæringens test og oplysninger. Da det i kontrolmål F.6. af it-revisionen er påset, at der løbende bliver ført tilsyn med underdatabehandlere, herunder de underdatabehandlere, som indgår i revisionserklæringen efter partiel- og helhedsmetoden, er det mest hensigtsmæssigt, at kun underdatabehandleren ITK, som ikke har fået udfærdiget en egen it-revisionserklæring, indgår i beskrivelsen af test af kontrolmål og kontroller.
Model med samlet it-revisionserklæring for databehandler og tilknyttede underdatabehandlere
Foreningen Det Digitale Folkebibliotek viderefører den tidligere anvendte ”it-revisionsmodel” fra det tidligere Danskernes Digitale Bibliotek (DDB), hvorefter der udfærdiges en it-revisionserklæring, som omfatter både databehandleren Det Digitale Folkebiblioteks og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for bibliotekskommunerne.
Den af Det Digitale Folkebibliotek anvendte revisionsmodel gør det enkelt og smidigt for de dataansvarlige bibliotekskommuner at udøve sit tilsyn på området med Det Digitale Folkebibliotek som databehandler og de anvendte underdatabehandlere. Den indhentede it-revisionserklæring dækker samlet både databehandlerens og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for kommunerne. Den enkelte bibliotekskommune skal således ikke særskilt indhente dokumentation for databehandleren Det Digitale Folkebiblioteks tilsyn med de anvendte underdatabehandlere og/eller revisionserklæringer for hver enkelt underdatabehandler. Den enkelte bibliotekskommune kan således udøve sit tilsyn på området med udgangspunkt i den årligt af Det Digitale Folkebibliotek indhentede revisionserklæring, hvori der også bliver kontroltestet i forhold til kontrolmålet (F 6), hvorvidt Det Digitale Folkebibliotek har fastsat hensigtsmæssige procedurer for tilsynet med underdatabehandlere, og hvorvidt der løbende bliver ført tilsyn med underdatabehandlere.
Hvis der i revisionserklæringen er taget forbehold over for visse kontrolmål, eller der er konstateret væsentlige afvigelser, kan bibliotekskommunen ved konkret instruks til Det Digitale Folkebibliotek bede om supplerende oplysninger om forbeholdet eller afvigelserne, en plan for forbedring af behandlingssikkerheden etc. Det Digitale Folkebibliotek vil dog typisk kommentere den årlige it-revisionserklæring og meddele planer for opfølgende tilsyn og foranstaltninger, hvis der er givet forbehold eller konstateret væsentlige afvigelser i revisionserklæringen.
De dataansvarlige kommuners tilsyn med Det Digitale Folkebibliotek som databehandler
Når Det Digitale Folkebibliotek ifølge de indgåede databehandleraftaler har forpligtet sig til årligt at indhente en ISAE 3000-revisionserklæring, er det for på én gang mere definitivt at efterkomme de dataansvarlige kommuners kontrol i forbindelse med deres tilsyn med Det Digitale Folkebibliotek som databehandler. Udgiften til den årlige it-revision, hvor der samlet udfærdiges en revisionserklæring for Det Digitale Folkebibliotek selv og den ene mest centrale underdatabehandler samt en selvstændig tilsvarende revisionserklæring for den anden centrale underdatabehandler, afholdes af kommunernes betaling til Det Digitale Folkebiblioteks drift. Der anvendes desuden i betydeligt omfang ressourcer på løbende over året at overholde og vedligeholde interne GDPR-procedurer for at sikre opfyldelse af kravene til revisionserklæringen. Der er herved fastsat et højt ”kontrolniveau” i forhold til kommunernes tilsynsforpligtelse med deres databehandlere, idet en årligt indhentet ISAE 3000-revisionserklæring med høj grad af sikkerhed svarer til Datatilsynets koncept nr. 5 i vejledningen fra oktober 2021. Det er et af de tilsynskoncepter, der ifølge vejledningen indebærer de største krav til gennemførelse af tilsynet, og en ISAE 3000-revisionserklæring er efter Det Digitale Folkebiblioteks opfattelse det for tiden mest passende tilsynsinstrument. Der er i den forbindelse grund til at bemærke, at tilsynskoncept nr. 5, hvor en mulighed er indhentning af en ISAE 3000-revisionserklæring, ikke ifølge Datatilsynets vejledning er påkrævet for Det Digitale Folkebibliotek som databehandler, der må gives 5 point på pointskalaen.
Link til Datatilsynets vejledning om tilsyn med databehandlere
ISAE 3000-Erklæringen
Det Digitale Folkebibliotek finder fortsat, at en ISAE 3000-revisionserklæring er en passende type it-revisionserklæring. ISAE 3000 type II-revisionserklæringen er afgivet af den certificerede IT-revisionsvirksomhed REVI IT A/S og omhandler Det Digitale Folkebiblioteks og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen samt databeskyttelsesloven i perioden fra 23. december 2020 til 31. december 2021.
ISAE 3000-erklæringen er udviklet af FSR – Danske revisorer i tæt samarbejde med Datatilsynet, der er kommet med bemærkninger til erklæringens udformning og indhold. Erklæringen skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler for beskyttelse af personoplysninger. Erklæringen bygger i et vist omfang på Datatilsynets skabelon til databehandleraftaler.