Bransjenorm for behandling av personopplysninger i revisjonsbransjen

Personvernforordningen (GDPR) vil i følge Justisdepartementet tidligst kunne tre i kraft i Norge fra 1. juli. For å hjelpe revisjonsselskapene med å etterleve personvernreglene arbeider Revisorforeningen med en bransjenorm for revisjonsbransjen.

Publisert: Revisjon

Denne artikkelen gir informasjon om hva bransjenormen er tenkt å inneholde, fremdriftsplanen for prosjektet og hva revisjonsselskapene bør tenke på allerede nå. 

Innholdet i bransjenormen

Bransjenormen vil fokusere på revisors behandling av personopplysninger i forbindelse med gjennomføring av revisjonsoppdrag og andre attestasjonsoppdrag. Hovedfokus vil være på de delene av GDPR som har særlig betydning for et revisjonsforetak.

I Revisjon og Regnskap (nr. 3 / 2018) er det publisert en artikkel om bransjenormen. Det henvises til denne for ytterligere informasjon om bransjenormens tiltenkte innhold.

Fremdriftsplan for bransjenormen

Revisorforeningen har som målsetting å ha ferdig en bransjenorm før sommeren. Bransjenormen skal godkjennes av Datatilsynet, og endelig ferdigstillelse vil således være avhengig av denne godkjenningen.

Forberedelsesfasen

Uavhengig av når GDPR blir en del av norsk rett og uavhengig av når bransjenormen foreligger, er det ingen grunn til ikke å starte forberedelsene allerede nå. Spesielt er det viktig å vurdere alle forhold som ikke omfattes av et revisjons- eller attestasjonsoppdrag. Dette er forhold som ikke er spesielle for et revisjonsselskap og vil ikke bli behandlet utfyllende i bransjenormen.

Det er viktig å ha på plass et hensiktsmessig internkontrollsystem som gjør at revisjonsselskapet er i stand til å etterleve kravene i personvernreglene.

I den forbindelse er det behov for å kartlegge hvilke typer personopplysninger som revisjonsselskapet behandler i forbindelse med drift av selve revisjonsvirksomheten og i forbindelse med utførelse av oppdrag.

Kartleggingen bør minimum omfatte:

  • Hvilke prosesser som innebærer behandling av personopplysninger
  • Hvilke typer personopplysninger som samles inn, herunder kategori (alminnelig eller særlig kategori)
  • Formålet med behandlingen
  • Behandlingsgrunnlaget
  • Hvor behandlingen finner sted (typisk IT-system)
  • Hvor personopplysningene oppbevares (fysisk og lokasjon), og eventuell bruk av databehandler

Kartleggingen skal blant annet gi oversikt over hvilke personopplysninger som behandles. Eksempelvis at det i forbindelse med inngåelse av avtaler med leverandører innhentes navn, e-postadresse og telefonnummer til kontaktperson hos leverandør. Kartleggingen innebærer ikke at det skal utarbeides egne oversikter over personopplysningene som revisjonsselskapet faktisk behandler. Det vil si at det ikke skal lages en oversikt over alle kontaktpersoner hos revisjonsselskapets leverandører bestående av navn, e-postadresse og telefonnummer.

Etter kartleggingen foretas en vurdering av hvilke risikoer behandlingen medfører for personvernet. Risikovurderinger som tidligere er gjort i forbindelse med tiltak for å sikre informasjon, vil kunne være relevante her. Hensikten er å identifisere områder hvor det er behov for å iverksette tiltak for å kunne etterleve personvernreglene.

Det kan også være nyttig å sette seg inn i Datatilsynets «Startpakke for nye virksomheter». Her fremkommer en rekke punkter som er relevant å vurdere i forberedelsesfasen. Artikkelen «Bransjenorm for behandling av personopplysninger i revisjonsbransjen» diskuterer flere av disse punktene nærmere.