Teknologiske aspekter ved personopplysningsloven

Personopplysningsloven krever at du har god kontroll på informasjonen og rutinene i orden. Hva kreves?

Alt var lettere før! Utsagnet er kanskje sant når det gjelder sikring av personopplysninger. Er du urolig for om du har sikret personopplysninger tilstrekkelig i din virksomhet? Det er mange utfordringer i det å forstå teknologiens styrker og svakheter.

Denne artikkelen ser nærmere på hva du kan gjøre for å ha en bedre følelse rundt sikringen av personopplysninger.

Det er avgjørende at regnskapsfører vet hvilke personopplysninger som behandles, i hvilke systemer de behandles og hvilke tekniske og organisatoriske tiltak som er iverksatt for å bevare personopplysningssikkerheten.

Personopplysningsloven gir ingen konkrete anbefalinger til bruk av teknologiske løsninger. Løsningene for å bevare personopplysningssikkerheten er mangfoldige og har ulike sikkerhetsnivåer.

Vi tror det viktigste er å gjøre en kartlegging, foreta en risikovurdering og etablere egnede tiltak som reduserer risikoen til et akseptabelt nivå. KS Komplett har maler for å hjelpe deg med dette.

Snakk med systemleverandørene dine om personopplysningssikkerhet, og hør hvilke erfaringer de har gjort seg. Husk at GRFS er et godt startpunkt for rutiner og kontroller for å sikre personopplysningene du behandler.

Formål og utvikling

Formålet med personopplysningsloven er å beskytte opplysninger som kan knyttes til identifiserbare personer slik at opplysningene ikke benyttes til annet enn det formålet de ble registret for.

Da den forrige personopplysningsloven kom i 2001 var en stor andel av personopplysningene i arkivskap og på fjernlager. Virksomheten hadde kontroll på opplysningene med enkle sikkerhetsmekanismer som hengelås eller oppbevaring i avdelinger med begrenset tilgang. Mesteparten var fysisk, og sikkerheten var observerbar. Nå synker andelen personopplysninger som oppbevares fysisk raskt, etter hvert som oppbevaringstiden går ut og materialet kastes.

I dag fødes mesteparten av de nye personopplysningene elektronisk og forblir elektronisk hele oppbevaringstiden. Til forskjell fra tidligere, kan vi ikke lenger “ta på» arkivet. Det er ikke sikkert vi helt vet hvor opplysningene er lagret, hvem som kan se dem, og om de er kopiert.

Regnskapsfører har et godt utgangspunkt for kontroll

Krav om sikring av regnskaps- og oppdragsmateriale har vi hatt gjennom God Regnskapsføringsskikk (GRFS) i mange år. Vi påstår at mye av risikoen rundt personopplysninger er ivaretatt gjennom den interne kontrollen som allerede var etablert ved lovens ikrafttredelse. Vi vet imidlertid at det er områder som krever bedre sikring, for eksempel bruk av e-post i den daglige driften.

Regnskapsfører er vant til å gjøre risikovurderinger og etablere kontroller som reduserer risiko til et akseptabelt nivå. Mye dreier seg derfor om å forstå teknologien og agere fornuftig på risiko.

Sikringsbehov

Personopplysninger kan enten være «at rest» eller «in transit». At rest betyr at opplysningene ligger på et lagringsmedie og forblir der inntil videre. In transit betyr at opplysningene overføres fra et lagringsmedie til et annet via en kommunikasjonskanal. Personopplysninger må være sikret i begge tilfellene.

NORSIS sier i sin rapport, om trusler og trender 2018-19, at uhell og vanvare er av de største truslene knyttet til informasjonssikkerhet. Dette inkluderer eksponering av passord for å få tilgang til systemer og lytting til nettverkstrafikk. Det er ytterst viktig at risikovurderingen inkluderer både data at rest og in transit.

Hva er bra nok sikring?

I Regnskap Norge får vi av og til spørsmål om et konkret sikringstiltak er tilstrekkelig. Svaret er alltid at «det kommer an på». Personopplysningsloven sier at virksomheten må gjennomføre egnede tekniske og organisatoriske tiltak som bygger på en risikovurdering. Risikoen sier noe om nivået på sikringstiltaket. Det skal være bra nok.

Det finnes en mengde teknologier på markedet som kan benyttes for å sikre opplysningene. Det er ingen fasitsvar på hva som egner seg, og personopplysningsloven gir ingen konkrete føringer. Vi vil i det følgende ta opp de vanligste områdene vi diskuterer med våre medlemmer.

Skylagring

Er skylagring trygt? Det er flere og flere som tar til orde for at profesjonelle skyaktører er flinkere med sikkerhet enn deg, og at det er tryggere å bruke enn en egen server i eget lokale. Regnskap Norge mener også det er tilfelle, i hvert fall for aktører som anvender god teknologi som eksempelvis Jottacloud, Microsoft Azure, OneDisk, Amazon AWS, Google Cloud og Dropbox.

Vi mener at det er vanskelig for Datatilsynet å argumentere for at en regnskapsfører som benytter anerkjent teknologi kan klandres hvis disse aktørene likevel opplever brudd på personopplysningssikkerheten. Ingen teknologileverandører kan garantere 100 % sikkerhet, og det forventes heller ikke av deres kunder eller Datatilsynet.

Det viktigste med skylagring, i relasjon til personopplysningsloven, er kanskje hvor data lagres. De fleste seriøse aktører innen skylagring har informasjon på websidene om hvordan de ivaretar kravene i EU’s GDPR. Det gjelder også de som er basert i land utenfor EU/EØS-sonen.

Som regnskapsfører bør du sjekke at leverandøren egenerklærer samsvar med GDPR, spesielt internasjonale aktører hvor data kan ligge i flere land samtidig. Ta gjerne skjermbilde av samsvarserklæringen til din oppdragsdokumentasjon! Det kan ikke forventes at regnskapsfører undersøker ytterligere om tjenesten er lovlig for oppbevaring av personopplysninger utover det aktøren selv sier.

Sikkerhetskopier

Loven skiller ikke mellom sikring av produksjonsdata og sikkerhetskopier. Alle forekomster av personopplysningene skal sikres, uavhengig hvilket medium de ligger på. Norsk bokføringsstandard NBS 1 Sikring av regnskapsmateriale sier at sikkerhetskopi skal oppbevares atskilt fra originalen. Dette kan medføre at sikkerhetskopien overføres til et mindre sikkert IT-miljø enn hvor produksjonsdataene ligger.

Regnskapsfører må være innforstått med hvilke kontroller som er etablert rundt sikkerhetskopiene for å hindre uønsket brudd på personopplysningssikkerheten.

Sikker kommunikasjon

Det er vår erfaring at regnskapsførere sliter mest med å vite hvordan de skal gjennomføre daglig kommunikasjon med oppdragsgiver på en sikker, men effektiv måte.

E-post er utrolig praktisk når oppdragsgiver for eksempel skal sende informasjon om en nyansatt til regnskapsfører. Problemet er at få teknologer erkjenner at standard e-post er en tilstrekkelig sikker kommunikasjonskanal. Regnskap Norge har tidligere kommunisert at virksomheten må etablere andre metoder enn usikret e-post for å være i samsvar med personopplysningsloven.

I Regnskap Norge IT-forum har vi vært tydelige overfor sentrale systemleverandører til vår bransje at de har er særlig ansvar for å levere trygge kommunikasjonsløsninger som en del av byråløsningene. Eksempelvis bør oppdragsgiver kunne legge informasjon om en nyansatt direkte i lønns- og personalløsningen hvor lønnsoppdraget kjøres. Byråløsningen bør også ha en funksjon i portalen hvor oppdragsgiver kan chatte med regnskapsfører og overføre relevant dokumentasjon på en sikker måte, og visa versa.

Portalen må ha en https-protokoll (Hypertext Transfer Protocol Secure) for å sikre kryptert kommunikasjon over nettet. I tillegg er det viktig å vurdere hvem som skal kunne se hva i portalen.

Innsyn må være basert på roller, og styres av passordbeskyttede individuelle tilganger.

Kryptering av dokumenter

Regnskapsfører kan i stedet for å etablere en sikker kommunikasjonskanal sikre selve dokumentet som sendes mellom regnskapsfører og oppdragsgiver. Da kan det være akseptabelt å sende dette i en usikret kanal som eksempelvis e-post. Dette er kanskje en mer tungvint måte å jobbe på, spesielt om regnskapsfører har mange oppdragsgivere de betjener og det er hyppig kommunikasjon mellom dem. Likevel er det vårt inntrykk at flere regnskapsførere benytter seg av denne metoden.

Det vi hører er at det etableres et fast passord som regnskapsfører og oppdragsgiver benytter, for eksempel sammensatt av oppdragsnummer + en annen kode. Enten benyttes krypteringsmuligheten innebygget i programvaren, eller et eget krypteringsprogram. Regnskap Norge er ikke så opptatt av om det brukes krypteringsalgoritmer som eksempelvis SHA256 eller SHA512. Det skal være bra nok, og er uansett bedre enn å sende ukryptert. Et krav bør imidlertid være at passordet ikke er enkelt å utrede av en person som urettmessig får tak i filen.

Mange regnskapsførere bruker Microsoft Office 365-plattformen som har innebygget krypteringsfunksjonalitet. I skrivende stund finnes dette både i online-versjonen og i klientversjonen, men det krever at mottaker har den digitale ID-en til avsender. Mer om dette finner du under “Klareringssenter” i Outlook, eller på Microsoft sine supportsider.

Sletting

Den registrerte har etter loven rett til å få personopplysninger om seg selv slettet under visse forutsetninger. Den viktigste forutsetningen knyttet til et regnskapsoppdrag er at det ikke lenger finnes hjemmel eller et formål med å behandle opplysningen. Oppbevaringskrav til regnskapsmateriale og oppdragsdokumentasjon går foran slettekrav i personopplysningsloven, men i praksis vil nok regnskapsbransjen sjelden oppleve slettekrav fra den registrerte.

Det er oppdragsgiver (behandlingsansvarlig) som er ansvarlig for å fremme slettekrav overfor regnskapsfører (databehandler). Regnskapsfører kan ikke slette på egen hånd med mindre det foreligger en avtale om dette.

Det er regnskapsfører som er ansvarlig for å slette personopplysninger i oppdragsdokumentasjonen etter oppbevaringstiden. Her har oppdragsgiver ingen påvirkning da regnskapsfører er behandlingsansvarlig for disse personopplysningene.

Et alternativ til sletting er anonymisering av opplysningene, slik at det ikke lenger er mulig å identifisere en konkret person. Vi vet at systemleverandører ser på løsninger for å kunne anonymisere reskontroer etter oppbevaringstiden der hvor personer har handlet med et selskap og krever sletting.

Artikkel 17 punkt 2 i personopplysningsloven sier at opplysninger skal slettes i alle forekomster, herunder reproduksjoner. Det siste kan for eksempel være sikkerhetskopier. Det er imidlertid uhensiktsmessig, og nærmest umulig, å gå inn i sikkerhetskopier for å slette noen få dataelementer. Datatilsynet har tidligere uttalt at sletting i sikkerhetskopier kan følge en normal rulleringsplan. Med det menes at om sikkerhetskopier rutinemessig overskrives eksempelvis hver tredje måned, så er det akseptabelt at slettingen ikke skjer umiddelbart, slik loven i utgangspunktet krever. Hvis personopplysninger slettes i produksjonsdatabasen, men sikkerhetskopi må legges tilbake med personopplysninger som tidligere er slettet, må disse slettes umiddelbart i produksjonsdatabasen igjen. Dette tror vi er vanskelig å huske, men loven krever det.

Se også våre sider om personopplysningsloven.

Se vår fordelsavtale med Verji på sikker kommunikasjon.