Bransjenorm og GDPR
3 April, 2019
De nye retningslinjene fra personvernforordningen trådde i kraft våren 2018. Denne artikkelen oppsummerer hovedpunktene fra det nye regelverket.
GDPR (General Data Protection Regulation) er EUs nye personvernforordning, med et mål om å beskytte personopplysninger i større grad enn tidligere. Dette gjelder alle bedrifter og organisasjoner i EU og EØS-land. Virksomheter som behandler personopplysninger plikter blant annet til følgende:
- Fastsette formål - personopplysninger skal bare brukes til spesifikke, angitte og legitime formål. Formålet må være klart uttrykt og bestemt på forhånd, og må formuleres skriftlig før virksomheten vil bruke personopplysningene.
- Rett til å bli slettet - dersom personopplysningene ikke lenger er nødvendig for formålet de ble samlet inn for, kan du kreve at personopplysningene blir slettet. Dette kan for eksempel være at du ikke lenger er kunde hos virksomheten.
- Rett til dataportabilitet - du har rett til å overføre personopplysningene direkte fra en behandlingsansvarlig til en annen - for eksempel ved å bytte bank. Den registrerte skal motta dette i et maskinlesbart format.
- Innebygd personvern - det skal tas hensyn til personvern i alle utviklingsfaser av et system eller løsning. Dette innebærer at en virksomhet ikke kan bruke personopplysningene uten et tydelig samtykke fra deg.
For mer informasjon om de nye retningslinjene, les mer hos Datatilsynet. Konsekvensen ved å bryte med det nye regelverket kan resultere i bøter opp til nesten 200 millioner norske kroner.
Hva skal bransjenormen gjøre?
Bransjenormen er tenkt som et sett med regler for en spesifikk bransje som skal fastsette regler og retningslinjer for hvordan virksomheten skal etterleve kravene mot GDPR. I revisjonsbransjen skal den klargjøre hvordan personvernreglene skal praktiseres. Et sentralt element i denne sammenheng er måten revisor mottar og behandler sensitiv informasjon innhentet fra kunden. Men hva vil det egentlig si å behandle?
Behandling betyr i praksis innsamling, registrering, strukturering, lagring og sletting av personopplysninger. Siden bedriftsrelaterte opplysninger ikke er omfattet av GDPR, er det viktig for en revisor å skille det mellom personopplysningene. For å redusere risikoen for brudd mot GDPR, er det essensielt å implementere gode interne rutiner i virksomheten. Derfor er det hensiktsmessig å gjennomføre en risikovurdering.
Dette kan gjøres enkelt ved å bruke en sjekkliste hentet fra Revisjon og Regnskap:
- Hvilke prosesser som innebærer behandling av personopplysninger
- Hvilke typer personopplysninger som samles inn
- Formålet med behandlingen
- Behandlingsgrunnlaget
- Hvor behandlingen finner sted
- Hvor personopplysningene oppbevares, og eventuell bruk av databehandler
Mye å tenke på? - Ikke bekymre deg.
Siden alle våre løsninger støtter opp mot GDPR-kravene, slipper du som kunde å tenke på dette. Vi setter alltid sikkerheten i høysetet når vi utvikler våre moduler og tjenester slik at du kan være sikker på at de nye retningslinjene blir fulgt opp. For mer informasjon om personvernforordningen og hvilke rettigheter du har, besøk Datatilsynet. Se våre produkter og tjenester i fanen oppe på nettsiden.
Har du spørsmål knyttet til denne artikkelen eller våre tjenester?
Kontakt oss gjerne på post@digitalrevisor.no
Kilder:
Revisjon og Regnskap. (2018). Bransjenorm GDPR for revisorer. Hentet fra link1
Revisjon og Regnskap. (2018). Bransjenorm for behandling av personopplysninger i revisjonsbransjen. Hentet fra link2
Datatilsynet. (2018). Virksomhetenes plikter. Hentet fra link3
PWC. (2018). Hva er GDPR? Hentet fra link4