Choose language

ISAE 3000: Sådan gør IMS dit GDPR-tilsyn nemmere

Person sidder ved et spisebord med en bærbar computer og arbejderHos IMS behandler vi persondata på vegne af vores kunder hver eneste dag. Det er en naturlig del af de produkter, vi leverer til håndtering af sager, dokumenter og digital kommunikation, som ofte indebærer følsomme personoplysninger. Derfor er det vores ansvar at kunne dokumentere, at vi passer på de data, vores kunder betror os. En ISAE 3000-revisorerklæring er én af måderne, vi gør det på.

Hvad er en ISAE 3000-erklæring?

ISAE 3000 er en international standard, der bruges, når en uafhængig revisor skal vurdere processer og kontroller. Softwareleverandører bruger den til at dokumentere over for deres kunder, at de lever op til GDPR og indholdet af de databehandleraftaler, de har indgået.

Det centrale er, at erklæringen kommer fra en uafhængig revisor og ikke fra leverandøren selv. Revisoren undersøger, om de processer og kontroller, leverandøren beskriver, rent faktisk eksisterer og fungerer, og afgiver derefter sin vurdering.

En ISAE 3000-erklæring findes i to varianter:

  • Type I-erklæring: Vurderer om kontrolmiljøet er korrekt beskrevet og hensigtsmæssigt designet på et bestemt tidspunkt. 

  • Type II-erklæring: Dækker en hel periode (typisk et år). Her vurderer revisoren, om kontrollerne rent faktisk har virket over tid. Det er denne variant, IMS indhenter, så du er sikret den stærkeste dokumentation.

Din genvej til dokumentation og GDPR-compliance

Når du bruger IMS Case, IMS DigitalPost eller IMS FakturaFlow, behandler vi personoplysninger på dine vegne. Men det er stadig dig som kunde, der er dataansvarlig, og derfor har du pligt til at føre tilsyn med IMS som databehandler.

Det betyder, at du har brug for at kunne dokumentere, at vi lever op til vores forpligtelser. Din organisation skal kunne stå inde for det – over for Datatilsynet, jeres revisor eller andre, der stiller krav til jeres datahåndtering.

Erklæringen giver dig det grundlag. Den er udarbejdet af en uafhængig revisor, den er offentligt tilgængelig, og den dækker præcis de forhold, der er relevante for din databehandleraftale med os.

Hvorfor indhenter IMS en ISAE 3000-erklæring hvert år?

En erklæring dækker en afgrænset periode, og arbejdsgange og krav til databeskyttelse udvikler sig løbende. Ved at indhente erklæringen hvert år sikrer vi, at vores processer efterprøves regelmæssigt, og at vores kunder altid har adgang til aktuel dokumentation. 

Den årlige revision vægter vi højt, fordi tillid er grundlaget for det samarbejde, vi har med vores kunder. Især fordi der hver dag håndteres følsomme data i vores produkter, som det er vores ansvar at passe på. 

Vil du vide mere?

IMS' seneste ISAE 3000 Type II-erklæring fra 2026 kan downloades på vores hjemmeside her. Har du spørgsmål til erklæringen eller til, hvad den konkret betyder for din organisation, er du velkommen til at vores Data Protection Manager Maria Radmer.

 


Ofte stillede spørgsmål

Hvilke produkter dækker ISAE 3000-erklæringen?

Den seneste erklæring dækker IMS Case, IMS DigitalPost og IMS FakturaFlow og gælder for perioden 1. marts 2025 – 28. februar 2026.


Kan jeg downloade ISAE 3000-erklæringen, selv om jeg ikke er kunde?

Ja. Erklæringen er offentligt tilgængelig og kan downloades direkte på vores hjemmeside under GDPR og sikkerhed.


Hvad kan jeg som dataansvarlig bruge ISAE 3000-erklæringen til?

Du kan bruge den som dokumentation i din egen compliance-opfølgning og som grundlag for din risikovurdering. Den erstatter ikke dine egne forpligtelser som dataansvarlig, men giver dig et konkret og uafhængigt efterprøvet grundlag at arbejde ud fra. 


Dækker ISAE 3000-erklæringen også IMS' underleverandører?

ISAE 3000-erklæringen dækker IMS' egne processer og kontroller. IMS anvender underdatabehandlere til blandt andet hosting og opbevaring af data – disse fremgår af både ISAE 3000-erklæringen og vores databehandleraftale. IMS anvender kun underdatabehandlere, der overholder kravene til behandlingssikkerhed, og underdatabehandlernes egne kontroller er ikke direkte omfattet af erklæringen. Læs mere om vores underdatabehandlere her.


Hvordan håndterer IMS backup, og opbevares data adskilt fra driftsmiljøet?

Alle IMS-løsninger er hostet i Danmark. Sikkerhedskopier opbevares på geografisk adskilte lokationer inden for EU, og det testes løbende, at data kan gendannes. Backup-proceduren er beskrevet nærmere i ISAE 3000-erklæringen, som du kan downloade her.


Hvad sker der, hvis der opstår et sikkerhedsbrud?

IMS har procedurer for håndtering af sikkerhedshændelser og er forpligtet til at underrette berørte kunder uden unødig forsinkelse. Disse procedurer indgår i erklæringen og efterprøves som en del af den årlige revision. I den seneste erklæringsperiode er der ikke registreret persondatasikkerhedsbrud.

Relaterede blogindlæg