Det Digitale Folkebiblioteks it-revisionserklæring

Læs om it-revisionserklæring vedrørende Det Digitale Folkebiblioteks behandling af personoplysninger som databehandler her.

Baggrund for it-revisionen

Det tidligere Danskernes Digitale Bibliotek (DDB), hvis opgaver pr. den 1. august 2020 blev overtaget af foreningen Det Digitale Folkebibliotek, skulle, som databehandler ifølge de indgåede databehandleraftaler, én gang årligt indhente en it-revisionserklæring om overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for de dataansvarlige bibliotekskommuner.

GDPR-teamet i Det Digitale Folkebibliotek besluttede derfor, at der i 2020 skulle indhentes en ISAE 3000, type I-revisionserklæring om overholdelse af GDPR ved behandling af personoplysninger for bibliotekskommunerne som databehandler. Revisionserklæringen er udfærdiget af den GDPR-certificerede it-revisionsvirksomhed REVI-IT. Det Digitale Folkebibliotek har endvidere udsendt nye standarddatabehandleraftaler til de enkelte bibliotekskommuner om behandling af personoplysninger i folkebibliotekernes brugergrænseflader mv., hvorefter den hidtidige instruks til DDB om årligt at indhente en passende revisionserklæring om overholdelse af GDPR og national databeskyttelseslovgivning videreføres for Det Digitale Folkebibliotek som databehandler.

Læs svarene på de oftest stillede spørgsmål til databehandleraftalen i FAQ'en her.
Læs it-revisionserklæringen her.

Konklusionen i it-revisionserklæringen 

I it-revisionserklæringen konkluderes det, at pr. 22. december 2020 er beskrivelsen af digitale bibliotekstjenester og -services, således som denne var udformet og implementeret i alle væsentlige henseender retvisende, og kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender hensigtsmæssigt udformet. 

For Det Digitale Folkebibliotek som databehandler og ITK som underdatabehandler er der i revisors test i forhold til de i ISAE-3000-erklæringens fastsatte kontrolmål ingen afvigelser konstateret. 

Hvorfor er andre centrale underdatabehandlere end ITK ikke testet i forhold til kontrolmålene?  

Det fremgår af it-revisors erklæring (side 11), at revisionserklæringen er udarbejdet efter den såkaldte helhedsmetode vedrørende underleverandøren (underdatabehandleren) ITK og efter den såkaldte partielmetode vedrørende de øvrige underleverandører (underdatabehandlere). Nu er anvendelse af helhedsmetoden i it-revisionserklæringer måske mere et dansk fænomen, men forskellen på om helhedsmetoden eller partielmetoden er anvendt vedrørende de omhandlede underdatabehandlere består i, at kontrolmålene og kontrollerne i revisionserklæringen kun omfatter underdatabehandleren ITK og ikke de øvrige underdatabehandlere. Når det således kun er underdatabehandleren ITK’s opfyldelse af kontrolmål og kontroller, der er testet i skemaet med kontrolmålene A til K, skyldes det den hensigtsmæssighedsbetragtning, at de to andre centrale underdatabehandlere (Redia og DBC A/S) begge har fået udarbejdet egne ISAE 3000-revisionserklæringer til brug for deres kunder generelt, og ikke kun til brug for Det Digitale Folkebibliotek. Hvis også resultater af it-revisionens test vedrørende de underdatabehandlere, der selv er blevet it-revideret i henhold til samme type revisionserklæring, også skulle anføres i it-revisionserklæringen vedrørende Det Digitale Folkebibliotek, ville denne revisionserklæring blive uoverskuelig og på punkter skabe tvivl om relevansen af revisionserklæringens test og oplysninger. Da det i kontrolmål F.6. af it-revisionen er påset, at der løbende bliver ført tilsyn med underdatabehandlere, herunder de underdatabehandlere, som indgår i revisionserklæringen efter partiel- og helhedsmetoden, er det mest hensigtsmæssigt, at kun underdatabehandleren ITK, som ikke har fået udfærdiget en egen it-revisionserklæring, indgår i beskrivelsen af test af kontrolmål og kontroller.           

Model med samlet it-revisionserklæring for databehandler og tilknyttede underdatabehandlere   

Foreningen Det Digitale Folkebibliotek viderefører den af Danskernes Digitale Bibliotek (DDB) anvendte ”it-revisionsmodel”, at der udfærdiges en it-revisionserklæring, som omfatter både databehandleren Det Digitale Folkebiblioteks og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for bibliotekskommunerne. 

Den anvendte it-revisionsmodel tager sigte på kommunernes efterlevelse af de af Datatilsynet stillede krav til kommunernes tilsyn med databehandlere og underdatabehandlere, jf. hertil de to afgørelser offentliggjort den 5. august 2019 efter tilsyn hos to kommuner med fokus på kommunernes efterlevelse af de krav, der knytter sig til anvendelse af databehandlere (henholdsvis med j.nr. 2018-423-0021 og 2018-423-0022). Det fremgår af afgørelserne, og navnlig af en ældre udateret ”Vejledende tekst fra Datatilsynet om tilsyn med databehandlere og underdatabehandlere”, at et grundlæggende kontrolinstrument for den dataansvarliges udøvelse af tilsynet er at få en uafhængig tredjepart (fx et revisionsselskab) til at påse behandlingssikkerheden hos den dataansvarliges databehandlere. Med hensyn til underdatabehandlere er det i databeskyttelsesforordningen det almindelige udgangspunkt, at det overlades til databehandleren at føre tilsynet med en underdatabehandler, hvilket også stemmer overens med, at det er mellem databehandleren og underdatabehandleren, at der består et aftaleforhold. Det vil være databehandleren, der over for den dataansvarlige er forpligtet til at føre det aftalte tilsyn med en anvendt underdatabehandler. Den dataansvarlige skal imidlertid sikre sig, at databehandleren fører det aftalte tilsyn med underdatabehandleren, hvilket ifølge Datatilsynets vejledende tekst fx kan ske ved, at databehandleren sender dokumentation for afholdte tilsyn til den dataansvarlige.     

Den i Det Digitale Folkebibliotek anvendte revisionsmodel gør det enkelt og smidigt for de dataansvarlige bibliotekskommuner at udøve sit tilsyn på området med Det Digitale Folkebibliotek som databehandler og de anvendte underdatabehandlere. Den indhentede it-revisionserklæring dækker samlet både databehandlerens og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen og databeskyttelsesloven ved behandling af personoplysninger for kommunerne. Den enkelte bibliotekskommune skal således ikke særskilt indhente dokumentation for databehandleren Det Digitale Folkebiblioteks tilsyn med de anvendte underdatabehandlere og/eller revisionserklæringer for hver enkelt underdatabehandler. Den enkelte bibliotekskommune kan således udøve sit tilsyn på området med udgangspunkt i den årligt af Det Digitale Folkebibliotek indhentede revisionserklæring, hvori der også bliver kontroltestet i forhold til kontrolmålet (F 6), hvorvidt Det Digitale Folkebibliotek har fastsat hensigtsmæssige procedurer for tilsynet med underdatabehandlere, og hvorvidt der løbende bliver ført tilsyn med underdatabehandlere. Hvis der i revisionserklæringen er taget forbehold over for visse kontrolmål, eller der er konstateret væsentlige afvigelser, kan bibliotekskommunen ved konkret instruks til Det Digitale Folkebibliotek bede om supplerende oplysninger om forbeholdet eller afvigelserne, en plan for forbedring af behandlingssikkerheden etc. Det Digitale Folkebibliotek vil dog typisk kommentere den årlige it-revisionserklæring og meddele planer for opfølgende tilsyn og foranstaltninger, hvis der er givet forbehold eller konstateret væsentlige afvigelser i revisionserklæringen.   

Hvorfor en type I-erklæring, og ikke type II? 

It-revionserklæringen ISAE 3000 udarbejdes i to typer. Type I er udarbejdet i forhold til en given dato, mens Type 2 er udarbejdet for en given tidsperiode (typisk mindst 6 mdr. og ofte for 1 år). Den af Det Digitale Folkebibliotek i 2020 indhentede ISAE 3000- it-revisionserklæring er en Type I-erklæring. Da den i 2019 af Danskernes Digitale Bibliotek (DDB) indhentede it-revisionserklæring også var en Type I-erklæring, er spørgsmålet, om der ikke i 2020 i stedet burde være indhentet en Type II-erklæring. Dette blev på et tidligt tidspunkt drøftet med it-revisionen, og der var enighed om, at det var mest hensigtsmæssigt, at der blev udfærdiget en Type I-erklæring. Det Digitale Folkebibliotek er ikke blot en formel navneændring af DDB. Der er tale om en anden organisering i et andet domicil med andre procedurer for bl.a. adgangsstyring og -kontrol både fysisk og digitalt, anden DPO-funktion etc., og i aftaleretlig forstand er der både formelt og reelt tale om en ny aftalepart.  

Læs it-revisionserklæringen her.
 

ISAE 3000-Erklæringen

GDPR-teamet i Det Digitale Folkebibliotek finder fortsat ligesom tidligere Danskernes Digitale Bibliotek, at en ISAE 3000-revisionserklæring er en passende type it-revisionserklæring. ISAE 3000-revisionserklæringen er afgivet af den certificerede IT-revisionsvirksomhed REVI IT A/S og omhandler Det Digitale Folkebiblioteks og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen samt databeskyttelsesloven pr.  23. december 2020.  
ISAE 3000-erklæringen er udviklet af FSR – Danske revisorer i tæt samarbejde med Datatilsynet, der er kommet med bemærkninger til erklæringens udformning og indhold. Erklæringen skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler for beskyttelse af personoplysninger. Erklæringen bygger på Datatilsynets skabelon til databehandleraftaler.