Personvern for dummies – hvordan gå frem

Les om bakgrunn for ny lov, begreper og hvordan du som regnskapsfører kan gå frem for å tilpasse deg den nye forordningen. Mye dreier seg om sunn fornuft, bevisste valg og dokumentasjon av personopplysninger, risiko, konsekvenser og rutiner.

Vi har i over 17 år hatt en lov om behandling av personopplysninger (personopplysningsloven). Datatilsynets erfaringer fra sine mange tilsyn er imidlertid ikke udelt gode. Det er for så vidt identifisert intern kontroll rundt personopplysninger i virksomhetene, eksempelvis gjennom tilgangsbegrensninger i IT-systemer, arbeidsdeling og krypterte databaser, men det er påvist store mangler innen dokumentasjon av både risikovurderinger og av etablert intern kontroll.

Nytt regelverk for personvern fra mai 2018

EU kommer nå med en ny forordning som gjennom EØS-avtalen vil erstatte dagens lovverk i Norge. De viktigste endringene er tydeligere aktivitetskrav for bedriftene, og en mer omfattende ansvarliggjøring av selskapene som behandler personopplysninger når avvik oppstår. Mange har sikkert fått med seg store oppslag i media om nivået på bøter ved avvik.

Det er imidlertid viktig nå at vi ikke mister fokus og blir skremt av det nye regelverket. Mye dreier seg om sunn fornuft, bevisste valg og dokumentasjon av personopplysninger, risiko, konsekvenser og kontroller/rutiner. Har du god kontroll på personopplysninger i dag, er du nemlig på god vei.

Hvorfor ny lov?

Det er lite tvilsomt at rutiner rundt personvern blir ett av de viktigste tiltakene for å beskytte borgere i et digitalt samfunn. Generelt kan det sies at loven skal sikre at borgere har kontroll på sine personopplysninger gjennom først å gi samtykke til bruk, eventuelt nekte behandling og deretter ha en rett til å bli glemt (slettet fra systemene). Borgere har krav på at behandlingen av opplysningene skal være lovlig, rettferdig og transparent. Personopplysninger er verdifulle for mange, både for kriminelle og etablerte virksomheter, da gjennom misbruk av opplysningene for å skape en urettmessig fordel.

Begreper

I følge Datatilsynet er en personopplysning en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Behandlingen av sensitive personopplysninger er i utgangspunktet forbudt, men kan tillates i særlige tilfeller hvor opplysningene er nødvendig for å ivareta plikter eller rettigheter.

Mange tror at personnummer er sensitivt, men det er altså ikke tilfelle. Skillet er viktig, det avgjør risiko og hvor god intern kontroll du må etablere rundt opplysningene.

Som regnskapsfører behandler du personopplysninger på vegne av dine kunder – du er en databehandler. Kunden er behandlingsansvarlig. Behandlingsansvarlig er den som bestemmer formålet med behandlingen. Som regnskapsførerbedrift er du også ansvarlig for personopplysninger om dine egne ansatte – du er da også behandlingsansvarlig for disse opplysningene.

Begrepene behandlingsansvarlig og databehandler er to sentrale begrep i lovverket som er viktig å kjenne til. En behandlingsansvarlig kan sette ut behandlingen til en databehandler. Ansvaret forblir hos behandlingsansvarlig selv om oppgaven er satt til en tredjepart. Databehandler har likevel selv forpliktelser til å varsle behandlingsansvarlig hvis de ser at behandlingen ikke er lovlig, rettferdig, transparent eller etter formålet. For regnskapsfører vil dette være aktuelt hvis de ser at kunden ikke følger lovverket. Regnskapsfører kan bli stilt til ansvar hvis de ikke varsler det de ser.

En mulig fremgangsmåte for implementering

Nå skal vi se nærmere på en mulig fremgangsmåte for å tilpasse seg til den nye forordningen. Fremgangsmåten er også aktuell for dagens lovgivning, så det er bare å sette i gang om ting ikke allerede er på plass.

1.      Hvilke personopplysninger behandles?

Om du ikke allerede har det på plass etter dagens lovgivning, er det viktig å starte med å identifisere samtlige personopplysninger som behandles i virksomheten. Personopplysninger finnes hovedsakelig i dag digitalt, men loven gjelder også for manuelle arkiver. I et lønnssystem er personopplysninger strukturerte, og er lette å kartlegge.

Utfordringen for mange bedrifter blir å kartlegge ustrukturerte personopplysninger i de ulike systemer en bedrift har; kundesystemet, regnskapssystemet, forsystemer mv. For eksempel, hvis regnskapsfører legger personopplysninger inn i bilagsteksten i regnskapssystemet, krever også disse dataene beskyttelse og intern kontroll. Dette er åpenbart lite hensiktsmessig, og løsningen anbefales derfor ikke.

For bedrifter som behandler mange personopplysninger, er det utvilsomt en fordel å samle opplysningene i strukturerte databaser og ikke ha de ustrukturert i flere systemer. Loven krever at systemløsninger skal ha innebygget personvern i dets oppbygging. Organisering av logiske strukturerte databaser som er kryptert vil kunne inngå som en del av dette kravet. Videre kan personer be om at personopplysninger flyttes elektronisk – da er det greit å ha personopplysningene samlet.

Det kan også være fornuftig i denne fasen å klassifisere personopplysningene i ordinære- og sensitive personopplysninger for å sikre at det etableres tilstrekkelig intern kontroll, spesielt for de sensitive personopplysningene. Husk at behandlingen av sensitive personopplysninger i utgangspunktet er forbudt, så begrunnelsen for behandlingen av disse er særdeles viktig.

Nå er også tidspunktet å slutte å behandle og oppbevare personopplysninger som ikke har et reelt formål. Da sparer du mye arbeid med kontroll og dokumentasjon.

I listen over personopplysninger er det også smart å angi formålet med behandlingen av opplysningene, eksempelvis for ansettelse, lønnsbetalinger, behandling av kunderelasjonen mv. Angivelse av formålet med personopplysningen er en meget viktig handling. Forordningen sier klart og tydelig at opplysningen ikke kan benyttes til andre formål enn det personen selv opprinnelig har gitt samtykke til. Endres formålet, må nytt samtykke innhentes eller opplysningen slettes.

2.      Hvor behandles dataene og hvor blir de oppbevart?

Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger prosesseres (hvilke systemer) og hvor de oppbevares (databaser).

Den første dimensjonen i oppbevaringskravet er at personopplysninger ikke må oppbevares utenfor EØS-sonen. Det er et par muligheter tilgjengelig for å oppbevare utenfor EØS-sonen, enten gjennom en individuell godkjenning fra Datatilsynet, eller ved å lagre disse dataene i USA under «Privacy Shield»-ordningen. IT-bedrifter i USA selverklærer seg i «Privacy Shield»-ordningen og publiserer dette på sine egne websider og på privacyshield.gov. Det er behandlingsansvarliges ansvar å sikre at oppbevaring utenfor EØS er 100 % innenfor regelverket. Søk råd hos Datatilsynet om du er i tvil!

Den andre dimensjonen i oppbevaringskravet er om du behandler og oppbevarer opplysningene i egen organisasjon (du er både behandlingsansvarlig og databehandler), eller om du har satt ut behandlingen av opplysningene til en tredjepart (eksempelvis til en datasentral). Vær oppmerksom på at en datasentral også kan ha satt ut deler av sin drift til en annen part, kanskje utenfor EØS. Du som behandlingsansvarlig er ansvarlig for å ha oversikt over alle ledd til endelig oppbevaringssted. Du kan ikke unnskylde deg med at du ikke visste.

Kvaliteten av arbeidet i de to første stegene er helt avgjørende for om du lykkes med å etablere tilstrekkelig intern kontroll. Du kan ikke scope deg ut av problemstillingene ved å si at visse systemer er uvesentlige. Alt må med så lenge det dreier seg om personopplysninger.

3.      Risikovurdering og konsekvensanalyse

Nå har du fått en oversikt over hvilke personopplysninger du behandler, om de i det hele tatt er nødvendige å ha (formålet), om de er sensitive eller ikke, og du vet hvor dataene befinner seg under prosessering og lagring. Legg arbeid i dette slik at du sikrer god lovoppfyllelse.

Loven krever at personopplysninger skal sikres for å beskytte personene opplysningene relaterer seg til. For å vite hvor godt data skal sikres, må du ta stilling til risiko for urettmessig eksponering og bruk av personopplysninger. I noen tilfelle må du også gjøre en konsekvensanalyse (DPIA), men dette gjelder i hovedsak for bedrifter som systematisk håndterer store menger personopplysninger eller benytter ny uprøvet teknologi. Alle virksomheter bør imidlertid gjøre en risikoanalyse. Du må her vurdere opplysningens art, omfang og formål når du skal fastslå risikoen samt sannsynlighet for at opplysningen urettmessig eksponeres.

En risikoanalyse kan gjøres i fire trinn:

1. Kartlegg informasjonssystemene og hvilke opplysninger som behandles i systemene (trinn 1 og 2 ovenfor)
2. Identifiser risiko knyttet til personopplysningen – hva skjer om data ikke er tilstrekkelig beskyttet (trinn 3)
3. Identifisering og anbefaling av tiltak (trinn 3 og trinn 4 nedenfor)
4. Dokumentasjon (trinn 4 nedenfor)

Her kan det være nyttig å gruppere like typer data som har lik risiko og som trenger lik beskyttelse. Personopplysninger som har lav risiko og konsekvens ved eksponering og misbruk kan ha enkle kontroller, mens andre personopplysninger og ikke minst sensitive opplysninger skal ha sterk intern kontroll.

Du må i denne delen av prosessen tenke: «Hva kan gå galt hvis disse dataene kommer på avveie eller blir brukt til annet enn det opprinnelige formålet?» og deretter «Hva kan jeg gjøre for å unngå dette?»

4.      Etablering av intern kontroll

Basert på risiko- og eventuelt konsekvensanalysen må du implementere og beskrive din interne kontroll. Mye løses gjennom gode rutiner rundt datasikkerhet. Internkontrollen skal sikre følgende målsettinger:

• Konfidensialitet – sikre at kun autoriserte brukere har tilgang til personopplysninger
• Tilgjengelighet – sikre at personopplysninger er tilgjengelig for autoriserte personer ved behov
• Integritet – sikre nøyaktighet og fullstendighet av personopplysninger, sikkerhet mot uautoriserte endringer og sikre sporbarhet av endringer

Kontroller kan beskrives overordnet, mens detaljene kan ligge i rutinebeskrivelser og andre kontrolldokumenter.

Hva er så god nok intern kontroll? Som jeg nevnte innledningsvis er oppfyllelse av personopplysningsloven ofte sunn fornuft. Å garantere kontroll over personopplysninger er ikke regningssvarende, noe risiko må bedriften ta, men risikoen skal da tas bevisst.

En måte å dokumentere intern kontroll overordnet på kan være i en tabell:

5.      Etablere avtaleverk

Når alt dette er kartlagt, må det foreligge et avtaleverk i bunn. Avtaleverket er todelt, i) mellom personen og virksomheten som behandler personopplysninger, og ii) avtaler behandlingsansvarlige har med sine databehandlere (eksempelvis regnskapsfører og/eller datasentraler). Husk at det skal foreligge avtaler i hele kjeden, eksempelvis mellom kunder og bedriften, mellom bedriften og regnskapsfører, mellom regnskapsfører og dets systemleverandør – og mellom systemleverandør og dets eksterne driftsleverandør. På den måten sikres kontroll og ansvarliggjøring helt fra person til databasen personopplysningene lagres i.

En avtale mellom en person og en virksomhet kan lettest formuleres som et digitalt samtykkeformular hvor personen samtykker i anvendelsen av de relevante personopplysninger til de spesifikke formål bedriften skal bruke dataene til. Bedriften kan derfor ikke bruke dataene til andre formål uten at det foreligger et nytt samtykke. Databehandleravtale mellom kunde og regnskapsfører ligger i KS Komplett som en del av oppdragsavtalen. Denne malen er basert på Datatilsynets mal som også kan benyttes i andre ledd i kjeden.

6.      Utnevne personvernombud?

Slik Regnskap Norge ser det, er det ikke krav om etablering av personvernombud i regnskapsbedrifter. Årsaken til dette er at regnskapsbedrifter, selv med store datamengder, verken driver systematisk monitorering i stor skala av personer eller driver behandling i stor skala av sensitive personopplysninger. Dog hindrer ikke dette større regnskapsbedrifter med mange kunder og store datamengder å frivillig etablere et ombud for å sikre god kontroll over behandlingen.

7.      Innhente samtykke

Noen personopplysninger trenger ikke samtykke fra personen det gjelder. Dette gjelder opplysninger hjemlet i lov som eksempelvis kreves i forbindelse med et ansettelsesforhold eller ivaretakelse av offentlige oppgaver. Andre opplysninger krever som hovedregel samtykke for bruk. Eksempel på dette er i forbindelse med direkte markedsføring eller bilnummer for å administrere en parkeringsløsning på jobben. Behandlingsansvarlig plikter å påvise at samtykke for behandling av personopplysningene er gitt.

I forbindelse med at opplysninger samles inn, skal personer få informasjon om formålet og de rettigheter de har rundt behandlingen. Bedriften må derfor utarbeide en standardisert informasjon som gis til relevante personer med et innhold som angitt i artikkel 13 i forordningen.

Personer kan tilbakekalle samtykke når de ønsker dette og nekte behandling av sine personopplysninger. Bedriften må ha rutiner for å administrere et tilbakekall av samtykke eller anmodning om nektelse av behandling av sine personopplysninger. Tilbakekall av samtykke skal være like enkelt som å gi samtykke. Et digitalt skjema for dette kan være en løsning.

8.      Innsyn og rett til korrigering

En person skal ved henvendelse kunne få innsyn i hvilke personopplysninger som er samlet på personen med angivelse av formålet med opplysningen. Krav om innsynet må være begrunnet i den forstand at innsynskravet ikke er grunnløs. Bedriften må ha effektive rutiner for å sammenstille alle personopplysninger fra alle kilder slik at innsynsretten kan ivaretas.

En person kan kreve rett til korrigering av personopplysninger som er registrert på vedkommende hvis dette påvirker behandlingen.

9.      Dataportabilitet

Med dataportabilitet menes at en person kan kreve at elektroniske registrerte personopplysninger flyttes fra en behandlingsansvarlig (bedrift A) til en annen behandlingsansvarlig (bedrift B). Dette skal skje i et format som er strukturert, alminnelig anvendt og maskinleselig. Eksempler på dette er regnearkformat, kommaseparert fil, XML og liknende. Utfordringen da er å kunne samle opplysninger fra flere kilder til ett sted og distribuere dette i et alminnelig anvendt format. Personen kan ikke kreve elektronisk overflytting hvis ny behandlingsansvarlig ikke kan behandle formatet.

10.      Rutine for sletting – retten til å bli glemt

Når en person utøver retten til å bli glemt, må bedriften ha rutiner for å slette alle relevante personopplysninger, og da uten ugrunnet opphold. Da gjelder det å ha god oversikt hvor personopplysninger befinner seg (gjort i fase 1 og 2). Husk at personopplysninger som befinner seg i sikkerhetskopier også skal slettes uten ugrunnet opphold.

Flere regnskapsførere spør om sletting av personopplysninger også gjelder for personopplysninger som er en del av oppbevaringspliktige regnskapsopplysninger. Svaret er nei, fem års oppbevaring av regnskapsopplysninger er et gyldig formål, og går da foran retten til å bli glemt. En kunde kan derfor ikke be om å bli slettet fra kundereskontroen.

11.      Varslingsplikt ved avvik

Ved brudd på personopplysningssikkerheten skal behandlingsansvarlig varsle Datatilsynet umiddelbart, og ikke senere enn 72 timer etter forholdet ble kjent. Dette gjelder kun hvis bruddet medfører risiko for personene som er eksponert. Om regnskapsfører oppdager et brudd på en kunde, må kunden varsles umiddelbart som igjen må varsle Datatilsynet. Er risiko for de registrerte personene høy, skal også personene det gjelder varsles av behandlingsansvarlig. Det er således viktig å etablere gode varslingsrutiner og oppdatere varslingslister.

12.      Bransjenorm

Den nye loven legger opp til at bransjer kan etablere en norm for behandlingen av personopplysninger. For regnskapsbransjen, som stort sett behandler samme typer personopplysninger i sin oppdragsgjennomføring, vil det være smart at bransjen går sammen om en slik norm. Regnskap Norge vil, gjennom bransjestandardutvalget, ta initiativet til at en slik norm utarbeides i god tid før mai 2018.