Datasikkerhed og GDPR i regnskabet
Saadan beskytter du regnskabs- og persondata og lever op til GDPR og kravet om databehandleraftaler.
Et regnskab indeholder langt mere end tal. Det rummer persondata om kunder, leverandører, ansatte og ejere, og det er data, du har pligt til at behandle ansvarligt. Når du flytter bogføringen over i et digitalt system, ændrer ansvaret sig ikke, men det bliver tydeligere, hvor data ligger, hvem der har adgang, og hvilke aftaler du skal have på plads.
Denne guide samler de praktiske krav til datasikkerhed og GDPR i regnskabet, så du både lever op til lovgivningen og kan dokumentere det, hvis du bliver spurgt.
Persondata i regnskabet
Du behandler persondata, så snart en oplysning kan henføres til en fysisk person. I et almindeligt regnskab er det typisk:
- navne, adresser og kontaktoplysninger på kunder og leverandører
- CPR-numre på ansatte i forbindelse med løn
- kontonumre, lønoplysninger og fraværsdata
- oplysninger om reelle ejere registreret hos Erhvervsstyrelsen
Bemærk, at en virksomheds CVR-nummer ikke i sig selv er en personoplysning, men oplysninger om en enkeltmandsvirksomheds indehaver ofte er det. Lønbehandling er det område, hvor du oftest håndterer følsomme oplysninger, og her bør sikkerheden være højest. Læs mere i guiden om loenkoersel trin for trin .
GDPR og behandlingsgrundlag
Efter GDPR skal enhver behandling af persondata have et behandlingsgrundlag. I regnskabssammenhæng er de mest relevante:
| Grundlag | Typisk anvendelse |
|---|---|
| Retlig forpligtelse | Bogføring, opbevaring af bilag, indberetning til Skattestyrelsen |
| Kontrakt | Fakturering og betaling af kunder og leverandører |
| Legitim interesse | Almindelig debitorstyring og rykkere |
Du skal ikke indhente samtykke for at føre et lovpligtigt regnskab, fordi du behandler oplysningerne for at opfylde en retlig forpligtelse. Til gengæld skal du kun behandle de oplysninger, der reelt er nødvendige, og ikke gemme dem længere end nødvendigt. Det princip om dataminimering hænger tæt sammen med, hvordan du arbejder med digital bogfoering og automatisering .
Databehandleraftale med leverandoeren
Når du bruger et cloud-baseret regnskabsprogram, behandler leverandøren persondata på dine vegne. Du er dataansvarlig, og leverandøren er databehandler. Det udløser et lovkrav om en skriftlig databehandleraftale .
En god databehandleraftale beskriver som minimum:
- hvilke kategorier af persondata der behandles
- formålet med og varigheden af behandlingen
- hvilke sikkerhedsforanstaltninger leverandøren har
- om og hvor data overføres uden for EU
- hvordan eventuelle underdatabehandlere håndteres
- hvad der sker med data, når aftalen ophører
Gennemgå aftalen, før du tager systemet i brug, og opbevar den sammen med din øvrige dokumentation. Du kan læse mere om vores tilgang på siden om sikkerhed i ReAI .
Opbevaring og sletning
Bogføringsloven kræver, at du opbevarer regnskabsmateriale i en længere årrække, mens GDPR samtidig kræver, at du sletter persondata, når formålet er opfyldt. De to regelsæt skal forenes:
- Bilag og posteringer skal gemmes, så længe opbevaringspligten gælder.
- Persondata, der ikke er en del af det lovpligtige materiale, bør slettes, når der ikke længere er et formål.
- Når opbevaringsperioden udløber, bør du slette eller anonymisere data systematisk.
Få styr på rutinerne med vejledningen om arkivering af regnskabsmateriale og om opbevaring af regnskabsmateriale .
Adgangsstyring og logning
Datasikkerhed handler i høj grad om, hvem der kan se hvad. Begræns adgangen til persondata efter behov, så medarbejdere kun ser det, deres arbejde kræver.
- Brug individuelle brugerkonti, ikke delte logins.
- Aktiver totrinsbekræftelse på adgang til regnskabsdata.
- Tildel rettigheder efter rolle, så fx en sælger ikke har adgang til lønoplysninger.
- Sørg for logning, så det kan spores, hvem der har set eller ændret data.
Logning understøtter også det kontrolspor, du har brug for i bogføringen. Se sammenhængen i guiden om kontrolspor og transaktionsspor .
Sikkerhedsbrud
Et sikkerhedsbrud opstår, hvis persondata ved et uheld eller en hændelse bliver tilgængelige, ændret eller går tabt. Det kan være et hacket login, en mistet computer eller en mail sendt til den forkerte modtager.
Hvis bruddet udgør en risiko for de berørte personer, skal du som udgangspunkt anmelde det til Datatilsynet inden for den frist, lovgivningen fastsætter. Forbered dig på det på forhånd:
- Beskriv, hvordan brud opdages og rapporteres internt.
- Hav en kontaktperson, der vurderer alvoren.
- Dokumentér hændelsen, vurderingen og de tiltag, du iværksætter.
Cloud og databehandling i EU
For mange virksomheder er det enklest at vælge en leverandør, der opbevarer og behandler data inden for EU/EØS. Så undgår du de ekstra krav, der gælder ved overførsel til tredjelande. Tjek i databehandleraftalen, hvor data ligger, og om der bruges underdatabehandlere uden for EU. Vores privatlivspolitik beskriver, hvordan data håndteres.
Dokumentation
Du skal kunne vise, at du behandler persondata ansvarligt. Saml derfor det centrale ét sted:
- oversigt over hvilke persondata du behandler og hvorfor
- dine databehandleraftaler
- procedurer for adgang, sletning og brud
- noter om dine valg af leverandører og opbevaring i EU
Den dokumentation gør det nemt at svare hurtigt, hvis en kunde, en ansat eller en myndighed spørger.