Hvordan utveksle personopplysninger i henhold til personopplysningsloven?

Mange bruker i dag e-post ved utveksling av personopplysninger.

Del
!
Artikkelen er over ett år gammel og innholdet kan derfor være utdatert

Personinformasjon som utveksles mellom regnskapskontor og kunder omfatter lønningslister, lønnsslipper, sykemeldinger, krav om ulike lønnstrekk og reiseregninger.

Felles for denne typen informasjon er at den som regel inneholder personinformasjon hvor datatilsynet stiller krav om kryptering.

Mange utveksler i dag denne informasjonen via e-post. Selv om det er utviklet løsninger hvor kundene kan logge seg inn for å hente og levere informasjon, bruker kundene ofte e-post fordi de synes det er enklere.

Flere kjenner seg kanskje igjen i beskrivelsen over, samtidig som man gjerne har gjort seg tanker om at det gir utfordringer i forbindelse med personopplysningsloven.

Den nye personopplysningsloven har gitt økt fokus på hvordan man utveksler personinformasjon, mye på grunn av medias fokus på nye gebyrsatser på inntil 4 % av omsetningen ved brudd på personopplysningsloven.


Personvern på dagsorden

Det gode ved dette er at det gir regnskapskontorene en unik mulighet til å sette personvern på dagsorden, og etablere rutiner som gjør at kundene unngår å bryte personopplysningsloven i kommunikasjonen med regnskapskontoret. Samtidig ivaretar regnskapskontoret at egne ansatte kommuniserer i tråd med loven.


Godkjente løsninger

Det er i hovedsak to måter å utveksle personinformasjon på i tråd med regelverket.

En godkjent løsning er at kunden logger seg inn med brukernavn og passord i et lukket system, og laster opp eller henter de dokumentene som skal utveksles med regnskapskontoret.

En annen løsning er å benytte en ende-til-ende-kryptert kommunikasjonsløsning hvor begge parter har installert en app. Her kan man enkelt utveksle meldinger og alle typer vedlegg, enten man benytter telefon, nettbrett eller arbeider fra PC.

Ende til ende kryptering gir høy sikkerhet når du skal sende informasjon elektronisk. I praksis betyr det at krypteringsnøkkel kun finnes hos sender og mottaker. Det er derfor ikke mulig å se og endre innholdet i meldinger og vedlegg selv om man har tilgang til server. For å oppnå ende til ende kryptering må både sender og mottager ha installert programvaren.

Mange regnskapskontorer vil nok tilby kundene begge variantene.


Unngå svindel med sikker kommunikasjonskanal

En annen problemstilling som også ivaretas i de to løsningene er CEO-svindel eller «direktørsvindel». Det har i den senere tid vært en rekke eksempler på direktørsvindel, hvor regnskapskontorer foretar utbetalinger til en de tror er kunden.

Kort forklart innebærer det at daglig leders eller økonomiansvarlig sin e-post hackes, og hackerne studerer deretter bedriftens rutiner for betaling over tid. Etter at de har satt seg inn i rutinene kommer angrepet, som i mange tilfeller instruerer kundens regnskapskontor til å foreta urettmessige utbetalinger.

Hittil i år er flere slike tilfeller politianmeldt og største svindlede beløp er på over 200.000 USD . I Norge ble det i 2016 svindlet for i nesten 300 MNOK via CEO-svindel, ifølge siste tilgjengelige tall fra Finanstilsynets risiko- og sårbarhetsanalyse.

I lys av dette er det viktig å etablere en sikker kommunikasjonskanal mellom regnskapskontoret og kundene, og at man er i samsvar med den nye personopplysningsloven.

Det tar nok noe tid før alle er i compliance, men mange har gjort tilpasninger allerede, for eksempel regnskapskontoret Laastad Pluss & Minus.


Hva sier datatilsynet om utveksling av personinformasjon?

Datatilsynet stiller krav om kryptering av elektronisk kommunikasjon når denne inneholder:

• Personopplysninger om mange (gjerne mange i form av gjentagende rutine)
• Fødselsnummer
• Særlig kategori personopplysninger
• Personopplysninger som behandlingsansvarlig har klassifisert som beskyttelsesverdig

Datatilsynet definerer en personopplysning som en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Datatilsynet definerer særlig kategori personopplysninger som opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.


Fordelsavtale innen kryptert kommunikasjon for medlemsbedrifter

Regnskap Norge har etablert en fordelsavtale for medlemsbedrifter, som ønsker å ta i bruk kryptert kommunikasjon. For nærmere informasjon om løsningen og priser, ta direkte kontakt med Rosberg AS v/Jan Martin Kristiansen på telefon 982 32 455 eller jan.martin.kristiansen@rosberg.com