Nye personvernregler
I over 17 år har vi hatt den samme loven om behandling av personopplysninger (personopplysningsloven) i Norge, men etterlevelsen har nok ikke alltid vært like god. I tillegg har det digitale skiftet medført at det er på høy tid med et oppdatert lovverk bedre tilpasset nåtiden.
EU har derfor kommet med en ny personvernlov som gjennom EØS-avtalen vil erstatte dagens lovverk i Norge.
Strengere krav til behandling av personopplysninger
Rutiner rundt personvern vil bli ett av de viktigste tiltakene for å beskytte borgere i det digitale samfunnet som vokser frem. Generelt kan det sies at loven skal sikre at vi som borgere har kontroll på våre personopplysninger gjennom først å gi samtykke til bruk, eventuelt gjennom å nekte behandling og deretter ha en rett til å bli glemt (slettet fra systemene). Vi som borgere har krav på at behandlingen av våre personopplysninger skal være lovlig, rettferdig og transparent.
I følge Datatilsynet er en personopplysning en opplysning eller vurdering som kan knyttes til deg som enkeltperson, direkte eller indirekte. Eksempler er navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).
De viktigste endringene er tydeligere krav for bedriftene, og en mer omfattende ansvarliggjøring av selskapene som behandler personopplysninger når avvik fra lovverket oppstår.
Regnskapsføreren er din databehandler
Som din regnskapsfører behandler vi personopplysninger på vegne av deg som oppdragsgiver – vi er din databehandler. Du som oppdragsgiver er behandlingsansvarlig og er den som bestemmer formålet med behandlingen av personopplysninger, og har også de aller fleste pliktene etter personopplysningsloven.
Vi som regnskapsførervirksomhet kan ivareta noen av disse pliktene gjennom oppdragsavtalen og databehandleravtalen. Vi vil også ha selvstendige plikter etter personopplysningsloven, hvor vi gjennom databehandleravtalen skal gi tilstrekkelige garantier for at behandlingen skjer i henhold til personopplysningsloven, i tillegg til at vi skal varsle oppdragsgiver hvis vi ser at oppdragsgiver ikke følger personopplysningsloven. Ved forespørsel fra oppdragsgiver skal vi også kunne gjøre rede for hvordan behandlingen av personopplysninger skjer hos oss og hos våre underleverandører.
Hva vi gjør
Det skal foreligge en databehandleravtale mellom deg som oppdragsgiver og oss som regnskapsfører. Databehandleravtalen skal sikre at dine personopplysninger blir behandlet i samsvar med regelverket og den setter en klar ramme for hvordan vi som databehandler kan behandle opplysningene.
Databehandleravtalen vil være et tillegg til oppdragsavtalen og må signeres av begge parter. Regnskap Norge sluttfører i disse dager arbeidet med en standard for databehandleravtaler, og denne vil vi sende ut så snart den er klar. Uten en gyldig og signert databehandleravtale har vi heller ikke lov til å behandle dine personopplysninger.
Datatilsynet krever også at personopplysninger skal sikres når slik informasjon sendes elektronisk mellom to lokasjoner, dette kan blant annet gjøres ved kryptering. Typiske eksempler er når vi sender ut lønnsslipp på e-post, eller dersom du sender personopplysninger til oss på e-post. Vi ser for tiden på ulike løsninger for å sikre en trygg og effektiv måte å kommunisere på som vi vil lansere like over sommeren.
Mer informasjon
Mer informasjon om de nye personvernreglene (og diverse skjema og verktøy) finner du på Datatilsynet sitt nettsted.