Hvordan sikrer jeg at skybasert regnskap er i tråd med GDPR-reglene?

Personvernforordningen (GDPR) stiller strenge krav til hvordan bedrifter behandler personopplysninger, og regnskapet er intet unntak. Både kunde- og ansattopplysninger er sentrale deler av et regnskap. Når du bruker et skybasert system, overlater du lagringen av disse dataene til en ekstern leverandør.

Som bedriftseier er du behandlingsansvarlig. Det betyr at du har hovedansvaret for at personopplysningene behandles i henhold til loven. Systemleverandøren er databehandler på dine vegne. Ditt ansvar forsvinner altså ikke ved å bruke en skytjeneste.

Tiltak for å sikre etterlevelse

Her er de viktigste stegene du må ta for å sikre at ditt skybaserte regnskapssystem er GDPR-kompatibelt:

1. Velg en anerkjent leverandør: Gå for en systemleverandør som er godt etablert i Norge eller EU/EØS. Sjekk at de har tydelige retningslinjer for personvern og datasikkerhet.
2. Inngå en databehandleravtale: Dette er et juridisk krav. Avtalen skal regulere hvordan leverandøren kan behandle personopplysninger på dine vegne. En seriøs leverandør har en standard databehandleravtale klar for signering.
3. Sjekk datalagring: Forsikre deg om at dataene lagres innenfor EU/EØS. Overføring av personopplysninger til land utenfor EU/EØS er strengt regulert.
4. Sikre tilgangskontroll: Bruk tofaktorautentisering (2FA) for innlogging til systemet. Gi kun tilgang til de medarbeiderne som trenger det for å utføre jobben sin.
5. Ha interne rutiner: Sørg for at dine ansatte vet hvordan bilag med personopplysninger skal håndteres og lagres sikkert.

Hos Bris Regnskap benytter vi utelukkende systemer fra anerkjente, norske leverandører som tar GDPR på største alvor. Vi kan bistå med å vurdere sikkerheten og hjelpe deg med å etablere gode rutiner. Ta kontakt for en uforpliktende prat.