Vitec Auto er forberedt på GDPR

26 april 2018

EUs personvernforordning, The General Data Protection Regulation (GDPR), vil bli del av norsk lov i løpet av 2018.  Det betyr at vi får nye regler for personvern, og det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter. I EU trer GDPR i kraft fra 25. mai 2018, mens det i Norge sannsynligvis vil bli en utsettelse frem til 1. juli. Reglene er omfattende, og brudd kan gi svært alvorlige konsekvenser (bøter kan potensielt settes til 4 % av virksomhetens omsetning). Mer informasjon om forordningen finnes blant annet på Datatilsynets hjemmesider.

Som følge av annen lovgivning er alle virksomheter pålagt å ta vare på data knyttet til sine økonomiske transaksjoner. Dette følger av blant annet Bokføringslovens §13 som avhengig av type regnskapsmateriale stiller ulike krav til lagringstid, i praksis 5 år etter avsluttet regnskapsår. Enkelte lover ikke er harmonisert med Bokføringsloven. Dette gjelder blant annet Aksjeloven, Tollforskriften og Ligningsloven som alle inneholder andre krav til lagringstid. Slike data inneholder ofte persondata.

Som kunde er du Behandlingsansvarlig for de data som legges inn i systemet

Som bruker av Autodata ERP og Infoeasy ERP er våre kunder Behandlingsansvarlig for de data som lagres i systemet. Typiske transaksjoner som inneholder persondata i våre systemer er knyttet til ordrer, føring regnskap og behandling av lønnsdata. Vi anbefaler derfor samtlige av våre kunder å sette seg grundig inn det nye lovverket.

Din virksomhet bestemmer formelt sett behandlingens formål og metoder — hvorfor og hvordan. Andre plikter er å analysere risiko, beskytte de registrertes rettigheter og kommunisere med Datatilsynet.  Du kan selvsagt overlate behandlingsaktiviteter til en tredjepart (Databehandleren) med instruksjoner om hva og hvordan. Den Behandlingsansvarlige sitter med det største rettslige ansvaret, uavhengig av hvem som faktisk utfører selve databehandlingen.

Vitec ivaretar databehandling på vegne av våre kunder

Vitec Auto behandler data på vegne av våre kunder og sørger som Databehandler for at dataene lagres og behandles i henhold til lov og avtale. Databehandler skal blant annet:

  • Ivareta informasjonssikkerhet, mht. kryptering, dataenes tilgjengelighet osv.
  • Umiddelbart rapportere til behandlingsansvarlig ved avvik eller tvil om instruksjonene er lovlige

Vi vil før forordningen trer i kraft i Norge sende ut en databehandleravtale til alle våre kunder som tilfredsstiller lovens krav, og regulerer de plikter vi har som behandler av persondata i lovens forstand. I tillegg har vi blant annet gjennomført opplæring av samtlige ansatte, etablert nye interne rutiner og gjennomgått våre systemer for å sikre etterlevelse av kravene fra vår side. Våre systemer ivaretar alle de krav som stilles, og i noen grad utvikler vi også tilleggsfunksjonalitet som vil gjøre det enklere for våre kunder å etterleve kravene som stilles til den Behandlingsansvarlige.

Ta gjerne kontakt

Er du usikker på noe rundt GDPR anbefaler vi at du først studerer Datatilsynets sider. Der ligger det både sjekklister og annen informasjon i tillegg til en norsk oversettelse av GDPR. Du er også velkommen til å ta kontakt med vår support om du har konkrete spørsmål til systemene eller noe annet rundt Vitecs rolle. I løpet av våren vil det også bli satt opp webinar der vi orienterer nærmere om GDPR og systemmessige konsekvenser.