Die meisten Unternehmen haben Daten, die extern verarbeitet werden. Das kann das Outsourcing von Lohnverwaltung oder Buchhaltung sein oder bestimmte Apps oder Programme, auf die über die Cloud zugegriffen wird.
Das bedeutet, dass Daten auf die eine oder andere Weise verarbeitet werden. Und damit besteht, wie immer, wenn Sie mit Daten arbeiten, das Risiko einer Datenschutzverletzung. Und egal, ob Ihnen oder dem Lieferanten ein Verstoß oder ein Unfall passiert, Sie sind für die Sicherheit verantwortlich.
Deshalb entscheiden sich immer mehr Unternehmen dafür, ihre Arbeit mit DSGVO und IT-Sicherheit von unabhängigen Wirtschaftsprüfern überprüfen und dokumentieren zu lassen.
Aber egal, ob Sie sich für einen Lieferanten mit ISAE-Erklärungen entscheiden oder nicht, die IT-Sicherheit muss immer Priorität haben.
Aber welche Fragen müssen Sie stellen, um sicherzustellen, dass Ihr Lieferant DSGVO-konform ist?
Wir haben die wesentlichen Fragen für Sie zusammengestellt, damit Sie sicherstellen können, dass Ihr Lieferant DSGVO-konform ist und über Sicherheitsverfahren und IT-Systeme verfügt.
Mitarbeiterdaten, Kundendaten usw. werden in der Regel sowohl von Ihnen als auch von Ihren Lieferanten verarbeitet. Für die ordnungsgemäße Verarbeitung der Daten ist jedoch Ihr Unternehmen verantwortlich. Daher müssen Sie Ihren Lieferanten um Dokumentation bitten, um nachzuweisen, dass er DSGVO-konform ist.
Erkundigen Sie sich unbedingt, welche Kontrollziele Ihr Lieferant in Bezug auf Datensicherheit und IT-Infrastruktur hat. Ein Kontrollziel könnte beispielsweise ein Prozess zur Verwaltung von DSGVO-Vorfällen sein oder ausreichende Kenntnisse darüber, welche Systeme welche Daten, insbesondere personenbezogene Daten, verwalten.
Ein wesentlicher Teil von ISAE 3402 besteht darin, eine Reihe von dokumentierten Kontrollzielen festzulegen, die von einem spezialisierten Prüfer kontrolliert werden.
Fragen Sie Ihren Lieferanten, wie oft er seine IT-Richtlinien und -Sicherheit überarbeitet, validiert und aktualisiert. Unternehmen kaufen oft neue Programme, IT-Tools oder Apps, und das muss sich in den Prozessen und der Dokumentation widerspiegeln. Es reicht nicht aus, wenn ein Lieferant im Jahr 2018, als die DSGVO eingeführt wurde, eine IT-Richtlinie ausgearbeitet hat. Sie muss fortlaufend aktualisiert werden.
Im Gegensatz zu den ISO 2700X-Zertifizierungen wird die Kontrolle von ISAE 3402 und ISAE 3000 jedes Jahr durchgeführt. Eine ISO 2700X-Zertifizierung muss nicht aktualisiert werden, sondern weist darauf hin, dass die Bedingungen zum Zeitpunkt der Zertifizierung erfüllt waren. Wenn Ihr Lieferant also über eine ISO-Zertifizierung verfügt, fragen Sie nach, wann er diese erhalten hat.
Wie oft besuchen Sie Ihren Lieferanten? Vielleicht ist er ganz oder teilweise in einem anderen Land ansässig? Eine ISAE 3402-Erklärung beinhaltet eine physische Sicherheitsprüfung.
Bevor Sie ein neues System in Ihrem Unternehmen implementieren, müssen Sie den gesamten Prozess kennen, wie Ihr Lieferant Ihre Daten, die Ihrer Kunden oder Ihrer Mitarbeiter verarbeitet. In Europa unterliegen alle Unternehmen den gleichen Regeln in Bezug auf die DSGVO. Sie müssen die Dokumentation darüber kennen, wie das Unternehmen diese Regeln einhält.
Fragen Sie, wie der Lieferant mit einer Sicherheitsverletzung umgeht. Und achten Sie darauf, ob es einen standardisierten und dokumentierten Prozess gibt.
Wird unbefugt auf Ihre Daten zugegriffen, ist Ihr Lieferant verpflichtet, Sie darüber zu informieren. Mit einer ISAE 3000-Erklärung ist Ihnen dies garantiert. Denn Unternehmen, die eine ISAE-Erklärung erlangen, haben Verfahren eingerichtet, die regelmäßig überarbeitet werden.
Wahrscheinlich haben Sie eine Vorstellung davon, welche Daten Ihr Lieferant verarbeiten soll. Stellen Sie jedoch sicher, dass Ihr Lieferant die von ihm verarbeiteten Daten dokumentieren kann. Und ob Ihr Lieferant Unterlieferanten oder Partner einsetzt.
Mit einer ISAE 3000-Erklärung erhalten Sie eine genaue Übersicht, welche Daten verarbeitet werden. Sie müssen dann keine eigenen Nachforschungen anstellen.
Es ist immer gut, vorbereitet zu sein. Bevor Sie also eine Zusammenarbeit mit einem neuen Lieferanten eingehen, müssen Sie eine umfassende Beschreibung des Risikos anfordern, das er in Bezug auf seine Datenverarbeitung aufgeführt hat.
Mit ISAE 3402 haben Sie die Gewissheit, dass datenbezogene Prozesse und Verfahren von einem unabhängigen Spezialisten kontrolliert und genehmigt werden.
Viele Unternehmen können relativ gut beschreiben, wie sie die DSGVO-Regeln einhalten. Aber genauso wichtig ist es, dass die IT-Sicherheit, beispielsweise Systeme, Infrastruktur und Prozesse, mit Ihren DSGVO-Maßnahmen zusammenspielen und dass die IT-Sicherheit ebenso gut dokumentiert ist wie die DSGVO-Richtlinie.
Ohne IT-Sicherheit haben DSGVO-Maßnahmen keinen Wert. Wenn Sie auf Nummer sicher gehen möchten, suchen Sie nach einem Lieferanten, der sowohl über eine ISAE 3000- als auch eine ISAE 3402-Erklärung verfügt.
Sie möchten wissen, dass Sie einen Lieferanten haben, bei dem Sicherheit nicht nur ein Schlagwort, sondern ein integrierter Bestandteil der Organisation ist. Eine Forderung im Rahmen von ISAE 3402 ist die interne Schulung in Bezug auf IT-Sicherheit, Datenverarbeitung usw. Fragen Sie Ihren Lieferanten, was er tut, um sicherzustellen, dass Mitarbeiter die IT-Sicherheit und die DSGVO in ihre tägliche Arbeit integrieren.
Wir bei TimeLog sind überzeugt davon, dass wir als Dienstleister sicherstellen müssen, dass unsere Kunden keine zusätzlichen Risiken eingehen, indem sie uns die Verantwortung für Teile ihres Geschäfts und ihrer Daten übertragen. Daher verpflichten wir uns, mit einem zertifizierten Wirtschaftsprüfer zusammenzuarbeiten, um sowohl die ISAE 3000-DSGVO- als auch die ISAE 3402-Erklärung als kontinuierliches, jährliches Ziel unserer Compliance- und Informationssicherheitsarbeit zu erhalten.
Sind Sie neugierig, Beispiele für den Inhalt der beiden Erklärungen und unsere Berichte zu sehen?
Schließlich haben wir hier die 10 Fragen zusammengestellt, damit Sie sie einfach kopieren und an neue oder bestehende Lieferanten senden können, um sicherzustellen, dass Sie zufriedenstellende Antworten erhalten, um Ihre DSGVO-Konformität zu unterstützen.