Kan Internrevisionschefen även vara Dataskyddsombud?
IIA Sweden rekommenderar att internrevisionschefen inte åtar sig uppdraget som dataskyddsombud.
I samband med ikraftträdandet av Dataskyddsreformen (GDPR) har ett antal internrevisionschefer blivit ombedda att åta sig uppdraget som dataskyddsombud för sina organisationer.
God internrevisionssed regleras i de internationella standarderna för internrevision, International Professional Practices Framework (IPPF). I standard 1112 anges att det är möjligt för internrevisionschefen att ha roller eller ansvarsuppgifter som faller utanför internrevision. I den mån detta sker, ska säkerhetsåtgärder vidtas för att försäkra att internrevisionsfunktionens objektivitet och oberoende.
IIA Sweden rekommenderar inte att internrevisionschefen åtar sig uppdraget som dataskyddsombud. Detta med hänsyn till att ikraftträdandet av Dataskyddsreformen kommer att medföra betydande förändringar och risker för de organisationer som berörs, vilket gör att det är av vikt att internrevisionsfunktionen har möjlighet att granska området.
I den mån det ändå bedöms som bäst för organisationen att internrevisionschefen åtar sig uppdraget som dataskyddsombud, måste säkerhetsåtgärder vidtas i enlighet med Standard 1112. Uppdraget behöver även tydligt redovisas i enlighet med Standard 1130.