Gjør deg klar for nye personvernregler

Arnfinn Blom / januar 8, 2018
Arnfinn Blom

Nytt regelverk for personvern innføres i mai 2018, og det betyr større ansvar for regnskapsførere og -selskaper. 

GDPR_Norge.jpg

Hallstein Husand, Datatilsynet.

Økt digitalisering i samfunnet har ført med seg økt fokus på vern av personopplysninger. Det er blitt veldig mye enklere å samle inn, prosessere, lagre og videreselge opplysninger. EUs nye forordning skal styrke innbyggerne og alle som behandler personopplysninger får et større ansvar.

I følge Datatilsynet er en personopplysning en opplysning eller vurdering som kan knyttes til deg som enkeltperson. Det kan være navn, adresse, telefonnummer, epost, bilder eller fingeravtrykk. Sensitive personopplysninger fordrer strengere krav til behandling, og kan dreie seg om ting som tro, legning eller politisk overbevisning

Varslingsplikt

- Den nye loven skiller mellom behandlingsansvarlige og databehandlere. Som regnskapsfører er det kunden din som er den ansvarlige, mens du er behandleren. Du er like fullt pliktig til å varsle når loven ikke følges, og kan stilles til ansvar om du ikke gjør det, sier leder for teknologi og innovasjon i Regnskap Norge, Hans Christian Ellefsen.

Det er skrevet en del om at bøtenivået kan bli høyt, men Ellefsen mener det er all grunn til å ta med ro og bruke sunn fornuft.

- Mye dreier seg om sunn fornuft. Ta bevisste valg, ha god dokumentasjon av personopplysninger, hvilken risiko som finnes, konsekvenser av misbruk og oppdaterte rutiner. Har du god kontroll på personopplysninger i dag, er du på god vei, sier Ellefsen.

På tide med nye regler

Fagdirektør Hallstein Husand i Datatilsynet mener den nye forordningen som innføres i mai vil treffe de fleste virksomheter.

- Alle som har kunder, ansatte og klienter lagrer personvernopplysninger og må forholde seg til den nye forordningen.

Han mener det er på høy tid at regelverket oppdateres. Den forrige loven er fra 2001 og bygger på et EU-direktiv fra 1995. Han mener virkeligheten har forandret seg mye på drøyt 20 år.

- Når du tenker på digitalisering, deling og sikkerhet har verden forandret seg mye. Vi som er opptatt av dette mener det er på høy tid, sier Husand.

Den viktigste endringen mener han er fokuset på borgeren. De får styrket sin rolle i lovgivningen og forhåpentligvis bedret sin stilling. Det skal bli lettere å få en oversikt over hva som lagres, hvor det lagres og eventuelt få det slettet.

Norge har hatt relativt gode lover når det kommer til personvern, men at etterlevelsen har variert. De selskapene som har fulgt de gamle lovene til punkt og prikke skal kunne etterleve Eus forordning i mai uten for store omkostninger.

- Noen nye rutiner må man regne med. Alle selskaper vil bli nødt til å sette av tid til å tilpasse seg det nye, men det trenger ikke bli veldig kostbart, sier Husand.

Viktig med ansvarsfordeling

Det er de som samler, lagrer og prosesserer personopplysninger som må etterleve bestemmelsene. Spesielt for regnskapsførere og -selskaper trekker Husand frem viktigheten av godt avtaleverk med kunder og leverandører.

Regnskapsførere behandler personopplysninger på vegne av kundene. Samtidig benytter man seg av tjenester fra tredjeparter som leverer ulike elektroniske programmer, men også de manuelle tjenestene som noen fortsatt bruker.

- Det er veldig viktig at ansvarsfordelingen er klokkeklar for de ulike aktørene, og hvilke parter som har ansvaret for hva, sier Husand og fortsetter.

- Hvem kan se opplysningene, hva gjør man når de er ferdigbehandlet og hvor oppbevares opplysningene. Dette kan være ting som er viktigere for regnskapsførere enn andre.

Husan forteller at det samme regelverket gjelder for skytjenester. Den samme gjennomgangen og risikovurderingen må gjøres her.

- Man er nødt til å velge det som er sikkert nok, og det kan være skybasert, sier Husand.

Skaff deg oversikt

Det første du må gjøre er å få en oversikt over hvilke personopplysninger ditt selskap har og behandler. Et godt tips er å strukturere det i ett system eller én database. Skill også mellom ordinære  og sensitive opplysninger. Det stilles strengere krav til sistnevnte.

En viktig del av tilpasningen for å leve opp til den nye forordningen er at du har gjort en risikovurdering og konsekvensanalyse. Du må kjenne til hvor det er sårbart, og hva som kan gå galt dersom noen misbruker de opplysningene du oppbevarer og behandler.

Det er også viktig at du tar en vurdering av om de opplysningene du har er noe du strengt tatt trenger. En regnskapsfører er etter loven en databehandler og har et selvstendig ansvar for å vurdere om personopplysningene må lagres og at det er gitt samtykke fra vedkommende at opplysningene lagres.

Skal opplysningene brukes til andre ting enn det som opprinnelig var formålet, må det hentes inn ny godkjennelse fra personen.

For selskaper som innhenter, prosesserer og lagrer store mengder med personopplysninger stilles det fra mai krav om å ha et personvernombud. Regnskap Norge har vurdert det dit hen at regnskapsbedrifter selv kan bestemme om de ønsker et slikt ombud.

Last ned gratis guide:

 FB_Slik etterlever du den nye personvernloven.jpg

Digitalisering, Økonomistyring, Sjekkliste, GDPR, Personvernregel, Datatilsyne, Regelverk