Personopplysningsloven – GDPR – databehandleravtaler… har du kontroll? Alle har vel et slags forhold til personopplysningsloven og GDPR, men visste du at virksomheter også har et ansvar for å dokumentere at de følger loven?
Som autorisert regnskapsførerforetak og profesjonell samarbeidspartner skal du være trygg på at vi følger personvernreglene.
Vi ønsker å tydeliggjøre bedre hva personvernreglene betyr for deg som driver virksomhet, og hvordan du bør tilpasse deg i din kommunikasjon både med oss - og andre.
Som kunde av oss har du signert på en databehandleravtale, og du kan når som helst lese vår personvernerklæring på https://www.safe-okonomi.no/peronvern.
Vi har lagt ned et omfattende arbeid for å sikre at vi har innebygd personvern og oppdaterte rutiner som tilfredsstiller personopplysningslovens krav. Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger og iverksette tekniske og organisatoriske tiltak som gjør at loven følges.
For generell veiledning rundt regelverket, anbefaler vi å bruke informasjonen som er tilgjengelig på datatilsynet sine sider. Link her
En av våre lovpålagte plikter som autorisert regnskapsførerforetak, er å gjennomføre en årlig oppdragskontroll, hvor oppdragsgivers interne rutiner er blant det vi plikter å kontrollere. Er du kunde av oss, har vi også forpliktet oss til å gi deg bistand med å etterleve kravene om personopplysningsloven
Personvern og bruk av e-post
Vi benytter oss alle mye av e-post. Hva er greit og ikke greit å sende fra seg når e-postene inneholder personopplysninger? Og hvordan beskytte informasjonen på best mulig måte?
E-poster er å anse som ukrypterte, noe som innebærer at e-postene ikke går direkte fra sender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Dette betyr at det kan være mulig for andre å lese innholdet. Når personopplysninger utveksles via e-post, bør det derfor vises forsiktighet med tanke på hva e-posten inneholder av type personopplysninger. Utveksling eller deling av personopplysninger per e-post bør derfor begrenses, og er ikke tillatt uten at man har et såkalt gyldig behandlingsgrunnlag til å kunne gjøre dette.
Det er mulig å beskytte informasjonen som sendes i e-post ved å kryptere innholdet.
Et godt alternativ er ende til ende kryptert kommunikasjon, som Digipost.
Dersom man ved overføring av enkeltfiler ikke har mulighet til å kryptere e-posten, eller kan være sikker på at e-postoverføringen er kryptert, kan det være et alternativ å bruke krypteringsmekanismer som er innebygd i programvare, for eksempel kryptering av word- og excel-filer med passord i MS Office av nyere sort. Et annet alternativ er å gi mottaker tilgang på en passord-beskyttet fil-plattform, som f.eks. Microsoft OneDrive.
Hva skal man kryptere?
Ifølge Datatilsynet er det nødvendig med konfidensialitet når informasjonen som overføres er:
- Særlige kategorier av personopplysninger (sensitive personopplysninger)
- Fødselsnummer
- personopplysninger om mange
- personopplysninger som behandlingsansvarlig har klassifisert som beskyttelsesverdig
Når e-poster inneholder personopplysninger, så skal det uavhengig av om innholdet er særlig beskyttelsesverdig eller ikke, alltid tas en vurdering av om den samlede informasjonen er av et slikt omfang at innholdet totalt sett ikke er egnet å oversende per epost.
Det er også viktig å ta en ekstra sjekk av mottaker(e) for å påse at adresser er riktig og at ikke flere for eksempel forhåndsdefinerte mottakere står oppgitt. Dersom e-poster inneholder helseopplysninger eller annen beskyttelsesverdig informasjon og ikke er kryptert, bør ikke henvendelsen besvares! Det bør gis tilbakemelding om at oversendelsen må ha en sikker kommunikasjonsløsning før den blir besvart, alternativt at det benyttes telefon eller fysisk kontakt.
Virksomheten har også ansvar for å dokumentere at de følger loven. Har din bedrift gode rutine på dette? Brudd på reglene kan føre til sanksjoner, for eksempel advarsler, irettesettelser, forbud og pålegg.
Vi bistår gjerne våre kunder med gjennomgang for å kontrollere etterlevelsen av personvernreglene. Vi kan veilede rundt regelverket og bistå med å sette opp gode rutiner.
Ta gjerne kontakt med oss for å avtale tid for gjennomgang!
