Hvordan utveksle personopplysninger i henhold til personopplysningsloven?
Mange bruker i dag e-post ved utveksling av personopplysninger.
Personinformasjon som utveksles mellom regnskapskontor og kunder omfatter lønningslister, lønnsslipper, sykemeldinger, krav om ulike lønnstrekk og reiseregninger.
Felles for denne typen informasjon er at den som regel inneholder personinformasjon hvor datatilsynet stiller krav om kryptering.
Mange utveksler i dag denne informasjonen via e-post. Selv om det er utviklet løsninger hvor kundene kan logge seg inn for å hente og levere informasjon, bruker kundene ofte e-post fordi de synes det er enklere.
Flere kjenner seg kanskje igjen i beskrivelsen over, samtidig som man gjerne har gjort seg tanker om at det gir utfordringer i forbindelse med personopplysningsloven.
Den nye personopplysningsloven har gitt økt fokus på hvordan man utveksler personinformasjon, mye på grunn av medias fokus på nye gebyrsatser på inntil 4 % av omsetningen ved brudd på personopplysningsloven.
Personvern på dagsordenen
Det gode ved dette er at det gir regnskapskontorene en unik mulighet til å sette personvern på dagsorden, og etablere rutiner som gjør at kundene unngår å bryte personopplysningsloven i kommunikasjonen med regnskapskontoret. Samtidig ivaretar regnskapskontoret at egne ansatte kommuniserer i tråd med loven.
Godkjente løsninger
Det er i hovedsak to måter å utveksle personinformasjon på i tråd med regelverket.
En godkjent løsning er at kunden logger seg inn med brukernavn og passord i et lukket system, og laster opp eller henter de dokumentene som skal utveksles med regnskapskontoret.
En annen løsning er å benytte en ende-til-ende-kryptert kommunikasjonsløsning hvor begge parter har installert en app. Her kan man enkelt utveksle meldinger og alle typer vedlegg, enten man benytter telefon, nettbrett eller arbeider fra PC.
Mange regnskapskontorer vil nok tilby kundene begge variantene.
Unngå svindel med sikker kommunikasjonskanal
En annen problemstilling som også ivaretas i de to løsningene er CEO-svindel eller «direktørsvindel». Det har i den senere tid vært en rekke eksempler på direktørsvindel, hvor regnskapskontorer foretar utbetalinger til en de tror er kunden.
Kort forklart innebærer det at daglig leders eller økonomiansvarlig sin e-post hackes, og hackerne studerer deretter bedriftens rutiner for betaling over tid. Etter at de har satt seg inn i rutinene kommer angrepet, som i mange tilfeller instruerer kundens regnskapskontor til å foreta urettmessige utbetalinger.
Hittil i år er flere slike tilfeller politianmeldt og største svindlede beløp er på over 200.000 USD . I Norge ble det i 2016 svindlet for i nesten 300 MNOK via CEO-svindel, ifølge siste tilgjengelige tall fra Finanstilsynets risiko- og sårbarhetsanalyse.
I lys av dette er det hensiktsmessig å etablere en sikker kommunikasjonskanal mellom regnskapskontoret og kundene. En slik kanal er et nødvendig for at kunden skal være i compliance, og kan faktureres kunden som et verktøy for å sikre samsvar med den nye personopplysningsloven.
Det tar nok noe tid før alle er i compliance, men mange har gjort tilpasninger allerede, for eksempel regnskapskontoret Laastad Pluss & Minus.
Regnskap Norge arbeider med å se på hva markedet tilbyr av løsninger som kan være praktiske og enkle i hverdagen.
Hva sier Datatilsynet om utveksling av personinformasjon?
Datatilsynet stiller krav om kryptering av elektronisk kommunikasjon når denne inneholder:
• Personopplysninger om mange (gjerne mange i form av gjentagende rutine)
• Fødselsnummer
• Særlig kategori personopplysninger
• Personopplysninger som behandlingsansvarlig har klassifisert som beskyttelsesverdig
Datatilsynet definerer en personopplysning som en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).
Datatilsynet definerer særlig kategori personopplysninger som opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Kilde: Regnskap Norge