Mine områder
Hjelp

Den nye personvernloven - Hva bør du tenke på når du innfører GDPR?

16-05-2018 14:59 (Sist oppdatert 23-01-2019)
  • 0 Svar
  • 0 liker
  • 927 Visninger

I mai 2018 trer nye regler for GDPR (General Data Protection Regulation) i kraft innen EU. Reguleringens hensikt er å styrke og sikre håndteringen av data.  Alle bedrifter som håndterer informasjon om privatpersoner (innen EU) må innføre dette. Norske myndigheter har bestemt at regulativet også skal gjelde i Norge.    

For flere spørsmål rundt GDPR, se vår Generelle FAQ
 

Denne artikkelen skal hjelpe deg å etablere et system som enklest mulig fungerer i henhold til reglene for GDPR.  Den inneholder tips og eksempler, men er ikke et fullstendig sett med instrukser og kan ikke brukes som et underlag for aksept. De nøyaktige forutsetningene for hvordan GDPR skal innføres, varierer fra miljø til miljø. Andre viktige faktorer i en innføring er:

  • hvilken type data du håndterer i ditt system
  • hva systemet skal brukes til
  • hvorfor dataene lagres (hensikt)

Faktorene skal sørge for at det lagres minst mulig data. Dette er også noe kundene skal sikre selv fordi de eier sine egne data (er sin egen databehandler).

Artikkelen tar for seg forholdene for et standard miljø for Mamut:

  • Mamut One (Mamut One Office og Mamut One Enterprise)
  • Mamut Online

Vi beskriver også her vanlige tilknytninger til andre Vismabaserte systemer som f.eks Mobilescanner, Expense, Application Hosting og AutoInvoice, men går inn inn på GDPR fir disse systemene. 

 

For tjenester utenfor Mamut One  er faktorene for GDPR og sikkerhet beskrevet i:

https://www.visma.com/privacy/

https://www.visma.com/trust-centre/

 

MERK: Mamut One brukes i et såkalt on-premise-miljø. I denne sammenhengen betyr det at du som eier av programvaren er ansvarlig for miljøet programmet kjører i. Du er behandlingsansvarlig og er din egen databehandler. Det betyr at du er ansvarlig for å imøtekomme kravene fra GDPR. Dette er likt de juridiske kravene som allerede gjelder for håndtering av økonomiske data som f.eks bokføringsbilag og regler/lover rundt skatt og merverdiavgift. Visma ønsker å levere løsninger som i størst mulig utstrekning gjør det mulig for alle våre kunder å oppfylle disse kravene, også for GDPR.

Generelle aspekter

Bruk av data

For all data hvor hensikten med informasjonen er uklar, kan det lede til at man unnlater å bruke GDPR. Dette gjelder ikke bare felt og kolonner med en definert hensikt, men også der hvor det finnes en mulighet for å lagre vilkårlig informasjon. Fritekstfelt og kommentarer er kilder til misbruk. Denne typen informasjon  kan også ha innhold det er mulig å søke på og analysere.

Lagring av data

For Mamut One lagres data på ulike steder og i ulike formater. For et system i drift er det mest vanlig å lagre data i:

  • Systemets databaser
  • Loggfiler på serversystemet
  • Loggfiler på lokale maskiner (klienter)
  • Arkivfiler, f.eks. bildefiler av fakturaer
  • Forskjellige typer informasjonskapsler i nettlesere som er innebygde i klienter
  • Forskjellige typer informasjonskapsler i alminnelige nettlesere

Systemer kan også ha tilpasninger som muliggjør lagring på andre måter. Varianter av den typen data kan også opprettes på systemer som kjører:

  • Direkte sikkerhetskopier av databaser eller alminnelige filer, f.eks. bildearkiv av fakturaer som lagres på spesielt definerte plasser.
  • Indirekte sikkerhetskopier, f.eks  filer som lagres i skytjenester; DropBox eller Google Drive. I disse lagringsmediene har man i prinsippet ingen kontroll over spredning av data. Det gjelder for data i drift og data som leverandøren av skytjenesten har tatt sikkerhetskopi av.

Vær opmmerksom på at du som kunde av disse skytjenestene står ansvarlig for disse dataene, og her gjelder reglene for GDPR uansett om dataene spres med eller uten hensikt.
En situasjon kan være at man har tatt en sikkerhetskopi av en database og sendt den til analyse eller support hos en ekstern aktør.

Overføring av data

Programvare innenfor samme produktlinje er integrerte og deler data på forskjellig måte. Ofte deles også data utenfor de integrerte systemene. Det kan være andre systemer i Visma som har tilleggsfunksjoner f.eks. Autoinvoice eller Mobilescanner, men også systemer fra tredjepartsleverandører.

Så fort data flyter mellom forskjellig programvare utenfor Mamut One, kan den GDPR-messige integriteten for disse dataene ikke dekkes av dette dokumentet alene. I slike tilfeller må direktivene for hvert enkelt system også følges. Eksempler på dette er at dere sender e-post fra programmet, utskrifter til fil etc.  
Merk at data som i Mamut One-miljøer er beskyttet av forskjellige integrerings- og tilgangssystemer ikke nødvendigvis har samme beskyttelse når de overføres til ytre systemer.

Brukerstøtte

I mange situasjoner hvor vi yter brukerstøtte, blir produktive data fra kunden lagt ved forespørselen. I tillegg kan kunden sende

  • en beskrivelse av feilsituasjonen,
  • hvordan den kan rekonstrueres,
  • innstillinger i Mamut og
  • databasen som en fil.

Med gjeldende GDPR er det ikke lenger tillatt å sende databasen til Visma Mamut uten å ha en forhåndsavtale om dette, via vårt supportsenter. 

Tilbakekalling av personlig data

Når hensikten med datalagring av informasjon om et individ ikke gjelder lengre, kan personen kreve at lagringen av data tilbakekalles.  Det betyr at alle hoved-og underposter kan slettes eller anonymiseres. Dette krever selvsagt at regnskapsloven fortsatt blir brukt i sin helhet:

  • Regnskapsposter som er eldre enn 10 år
  • Fakturaordre som er eldre enn 5 år

Se forøvrig Altinns sider for mer informasjon om regler for oppbevaring av regnskapsmateriale

 

Sletting eller anonymisering av slike data kan utføres  ved å kontakte vår supportavdeling.
Les mer om dette her:  https://community.visma.com/t5/GDPR/GDPR-FAQ-og-script-for-tilretteleggelse-av-Mamut/ta-p/144031

 

 

Bidragsytere