Er det greit å sende personopplysninger på e-post?
Vet du hvilken informasjon du som regnskapsfører kan sende på e-post? Bruk heller en kommunikasjonskanal som ikke kommer i konflikt med personvernopplysningsloven og GDPR-forordningen, råder ekspert.
For å sikre at lønnsutbetalinger, trygderefusjoner og a-meldinger blir som de skal, behandler regnskapsførere en rekke ulike personopplysninger på vegne av kundene. Dette må de gjøre på en sikker måte.
– Det er et viktig prinsipp å beskytte personvernet. Husk at personopplysninger er verdifulle for kriminelle miljøer. Det er en risiko for at sensitive opplysninger kan brukes til ID-tyveri, sier Hans Christian Ellefsen, direktør for teknologi, innovasjon og bærekraft i Regnskap Norge.
Behandling av slike personopplysninger er underlagt strenge krav i Norge. Personopplysningsloven fungerer i samspill med EU-forordningen om GDPR. Disse gir individet større kontroll over personlige data og stiller strenge krav til virksomheter som behandler personopplysninger.
Hvem har ansvar?
Når du gjennomfører regnskaps- og lønnsoppdrag for dine kunder, behandler du personopplysninger på vegne av dem. Du er en databehandler. Kunden er behandlingsansvarlig. Hvem har ansvaret for å sikre at personopplysningene behandles på en trygg måte?
Begge parter har et ansvar, fastslår Ellefsen. Ja, kunden er behandlingsansvarlig. Men som følge av databehandleravtalen mellom kunden og regnskapsføreren, forplikter sistnevnte seg til å følge de samme reglene og behandle personopplysninger etter lovens krav. Det gjelder både behandling av data, sletting og varsling.
Anbefaler ikke e-post
I mange bransjer er det vanlig å kommunisere med kunder via e-post. Men med bare et lite passord som beskyttelse, har e-posten noen klare svakheter med tanke på personopplysninger. Og selv om det finnes ulike løsninger for kryptering, kan det være utfordrende både å bruke og administrere disse, påpeker Ellefsen.
– Vår anbefaling er å ikke sende personopplysninger i e-post. Bruk heller en sikker kommunikasjonsplattform med TLS-kryptering og tofaktor-autentisering som kan brukes til all kommunikasjon med kunden. Her kan du sende filer, chatte og justere tilgang. Det er mange løsninger på markedet, og det kreves ingen store investeringer for å få det til, sier han.
Egen tilgang til Gjensidiges portal
– Vi i Gjensidige blir veldig glade når regnskapsførere lar være å benytte e-post når de skal få tak i opplysninger i bedriftsforsikringene – som de trenger for regnskapet, sier Heidi Elisabeth Grønvold, leder i Operations Broker Commercial i Gjensidige.
– Vi ønsker helst at bedriftene gir regnskapsføreren egen tilgang til www.gjensidige.no, slik at de kan logge inn og hente de opplysningene de trenger der. Det er også bedre enn at bedriften selv må sende det over til dem på e-post.
Mange gjør feil
Selv om det finnes både verktøy og mye informasjon på feltet, mottar Datatilsynet en betydelig andel klager på ulovlig digital behandling av personopplysninger. Feilsendinger og feilpubliseringer av personopplysninger er blant de aller vanligste årsakene til avvik, ifølge deres siste årsrapport fra 2022.
– Noen bedrifter mangler kunnskap og sender personopplysninger ukryptert via e-post. Som regnskapsfører bør du si fra til kunden hvis du ser at lovverket ikke følges. Tilby råd og veiledning, og hjelp dem til å forstå hva de må gjøre annerledes, foreslår Hans Christian Ellefsen.
Blir du ikke hørt, bør du henvende deg skriftlig til selskapets ledelse. Fungerer ikke det, bør du kanskje vurdere om du skal fortsette med samarbeidet.
– Og i spesielle tilfeller, der det er snakk om vesentlige sikkerhetsbrudd, kan du som regnskapsfører også varsle Datatilsynet direkte, sier Ellefesen.
Fakta: Personopplysninger og GDPR
Personopplysninger er all informasjon som identifiserer eller kan brukes til å identifisere en privatperson, for eksempel navn, alder, fødselsdato, kjønn, foto og sivil status. Også utdanning, arbeidssted, inntekt, e-postadresse og telefonnummer regnes som personopplysninger, selv om de verken er hemmelige eller regnes som private, ifølge NHOs arbeidsgiverportal Arbinn.no.
GDPR (generell databeskyttelsesforordning) ble innført i 2018 for å beskytte personvernet til innbyggerne i EU og EØS. Den gir individet større kontroll over sine personlige data. I tillegg stiller forordningen strenge krav til virksomheter som behandler personopplysninger.
Les mer om GDPR på Datatilsynets nettsider