Bransjenorm GDPR for revisorer

Revisorforeningens bransjenorm for behandling av personopplysninger i revisjonsbransjen er sendt til Datatilsynet for godkjenning. Utkastet til bransjenorm vil være veiledende for bransjen også før Datatilsynet har gitt sin godkjenning.

Publisert: Revisjon

Hva er en bransjenorm

Den nye personvernloven og personvernforordningen (GDPR) er ikke fastsatt med tanke på revisorer. Det har derfor vært et stort behov for å avklare løsninger som er tilpasset de oppdragene revisor utfører.

I GDPR oppfordres bransjeorganisasjoner til å utarbeide bransjenormer/atferdsnormer som skal bidra til riktig anvendelse av forordningen. Slike bransjenormer godkjennes av Datatilsynet. Etterlevelse av godkjente bransjenormer kan brukes for å påvise at GDPR-forpliktelsene overholdes, og gir dermed en ekstra trygghet.

Revisorforeningen har derfor utarbeidet et utkast til brasjenorm som vi nå har sendt over til Datatilsynet for godkjenning. Bransjenormen skal legge til rette for at revisjonsforetakene kan etterleve de nye personvernreglene på en forsvarlig og hensiktsmessig måte. Bransjenormen er ikke en standard som har betydning for hvordan revisor skal gjennomføre revisjon eller andre oppdrag.

Hva bransjenormen gjelder

Bransjenormen gjelder overholdelse av personvernreglene ved aksept og utførelse av revisjon og forenklet revisorkontroll av regnskaper, samt andre attestasjonsoppdrag og avtalte kontrollhandlinger. I tillegg er det en del i bransjenormen som omhandler andre tjenester som revisorer leverer.

Bransjenormen omhandler ikke behandling av personopplysninger i forbindelse med håndtering av personalmessige forhold, markedsføring, leverandører og annet som gjelder drift av revisjonsforetaket. Dette må håndteres i revisjonsforetak på samme måte som i andre foretak.

Bransjenormen kan brukes nå

Den nye personopplysningsloven og GDPR tråde i kraft i Norge 20. juli 2018. Datatilsynet avventer avklaring av enkelte forhold på EU-nivå som har betydning for godkjenning av bransjenormer. Det vil derfor ta noe tid før bransjenormen kan bli godkjent. Før Datatilsynet har gitt sin godkjenning, vil utkastet til bransjenorm ha status som veiledning.

Personvern i engasjementsbrevet

Vi anbefaler at behandlingen av personopplysninger i forbindelse med revisjonsoppdrag presiseres i engasjementsbrevet, for eksempel med følgende ordlyd:

Personvern
For å gjennomføre oppdraget, vil vi behandle personopplysninger slik det er beskrevet i vår personvernerklæring. Personvernerklæringen er tilgjengelig på [vår nettside revisjonsselskap.no/personvern]. Vi er behandlingsansvarlig etter personvernreglene for de personopplysningene vi behandler i forbindelse med oppdraget.

Maler og veiledning

Vi arbeider med å utarbeide eksempler som skal gjøre det enklere å overholde personvernreglene:

  • Personvernerklæring - utførelse av revisors tjenester
  • Kartleggingsprotokoll for behandling av personopplysninger
  • Personvern i ISQC 1-rutinene

Oppdatert versjon

Utkast til bransjenormen ble oversendt Datatilsynet for godkjenning i juni 2018. På bakgrunn av innspill til omtalen av innsynsrett og taushetsplikt, ble en oppdatert versjon av bransjenormen oversendt i september.