Få svar på dine spørgsmål om GDPR
Her har vi samlet svar på rigtig mange af de spørgsmål vi får i forbindelse med GDPR i e-conomic.
1. Hvad er persondata?
Persondata er alt, der direkte eller indirekte kan henføres til en person. Dette omfatter dog også tilfælde, hvor personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Eksempler:
> Navn
> Adresse
> CPR-nummer
> Telefonnummer
> E-mailadresser
> IP-adresse
> Betalingsinformationer
> Fotos
> Stemmeoptagelse
...osv.
> Navn
> Adresse
> CPR-nummer
> Telefonnummer
> E-mailadresser
> IP-adresse
> Betalingsinformationer
> Fotos
> Stemmeoptagelse
...osv.
2. Hvad er personfølsomme oplysninger?
Visse typer persondata er af særlig sensitiv karakter ifølge GDPR. Følsomme oplysninger er oplysninger om:
> Etnisk oprindelse
> Politisk overbevisning
> Religiøs eller filosofisk overbevisning
> Fagforeningsmæssige tilhørsforhold
> Genetiske data
> Biometriske data med henblik på entydig identifikation
> Helbredsoplysninger
> Seksuelle forhold eller seksuel orientering.
I vores databehandleraftale har vi oplistet en række særligt væsentlige sikkerhedsforanstaltninger. Hertil tilbyder vi yderligere information og kvalitetssikring ved vores ISAE 3402 erklæring, som kan downloades her. Vi har i Visma e-conomic udarbejdet risikoanalyser, hvor i det er vurderet, at e-conomic har et sikkerhedsniveau som matcher selv personfølsom data. Det er op til dig som kunde, hvorvidt du indtaster personfølsom data. Uanset om du gør dette eller ej, følges alle sikkerhedsforanstaltninger.
> Etnisk oprindelse
> Politisk overbevisning
> Religiøs eller filosofisk overbevisning
> Fagforeningsmæssige tilhørsforhold
> Genetiske data
> Biometriske data med henblik på entydig identifikation
> Helbredsoplysninger
> Seksuelle forhold eller seksuel orientering.
I vores databehandleraftale har vi oplistet en række særligt væsentlige sikkerhedsforanstaltninger. Hertil tilbyder vi yderligere information og kvalitetssikring ved vores ISAE 3402 erklæring, som kan downloades her. Vi har i Visma e-conomic udarbejdet risikoanalyser, hvor i det er vurderet, at e-conomic har et sikkerhedsniveau som matcher selv personfølsom data. Det er op til dig som kunde, hvorvidt du indtaster personfølsom data. Uanset om du gør dette eller ej, følges alle sikkerhedsforanstaltninger.
3. Er indscannede bilag også persondata?
Ja, indscannede bilag kan indeholde persondata og derfor være persondata.
4. Har I en databehandleraftale?
Ja, vi har en databehandleraftale som du kan læse her. Det kaldes også en 'DPA' (Data Processing Agreement), og fungerer som en instruks til os om, hvordan vi skal behandle kunders persondata. Læs mere her, om hvorfor vi har en databehandleraftale med dig som kunde.
5. Hvor kan jeg finde min databehandleraftale?
Efter du har godkendt databehandleraftalen ved oprettelsen af din e-conomic aftale, kan du downloade den inde i applikationen som Superbruger. Du kan dog til enhver tid tilgå Databehandleraftalen her.
6. Hvordan får jeg en databehandleraftale til en app jeg gerne vil købe til e-conomic?
Når du køber en tredjeparts app der integreres med dit regnskab i e-conomic, skal du have en DPA direkte fra udbyderen af app'en. Du kan se apps i e-conomic market når du er logget ind, eller den fulde liste her.
7. Skal jeg som revisor eller bogholder have en databehandleraftale med mine kunder?
Det vil vi i høj grad anbefale, så længe du behandler dine kunders persondata i dine systemer. Du kan finde en standard-skabelon fra Datatilsynet, på deres hjemmeside.
8. Hvad betyder databehandler og dataansvarlig?
Når du anvender e-conomic regnskabssystem, er du dataansvarlig og e-conomic er databehandler. Sagt på en anden måde: din virksomhed er dataansvarlig i forhold til de personoplysninger som e-conomic behandler på din virksomheds vegne. Dette kan du læse mere, om i vores GDPR-univers.
9. Er jeg databehandler eller dataansvarlig i mit arbejde som revisor eller bogholder?
Bogholdere og revisorer kan være både dataansvarlige og databehandlere.
Du agerer som databehandler når du behandler dine kunders persondata, hvor de er dataansvarlige, og e-conomic er underleverandør i forhold til dine kunder. Dette gælder for eksempel når du administrerer interne aftaler, og de medfølgende persondata i dem.
Det betyder igen, at du er dataansvarlig i din relation til e-conomic, dvs. du er dataansvarlig i forhold til de personoplysninger som e-conomic behandler på din virksomheds vegne. Du kan læse mere om hvordan Visma e-conomic ligeledes er begge roller i forskellige tilfælde i vores GDPR-univers.
Du agerer som databehandler når du behandler dine kunders persondata, hvor de er dataansvarlige, og e-conomic er underleverandør i forhold til dine kunder. Dette gælder for eksempel når du administrerer interne aftaler, og de medfølgende persondata i dem.
Det betyder igen, at du er dataansvarlig i din relation til e-conomic, dvs. du er dataansvarlig i forhold til de personoplysninger som e-conomic behandler på din virksomheds vegne. Du kan læse mere om hvordan Visma e-conomic ligeledes er begge roller i forskellige tilfælde i vores GDPR-univers.
10. Hvilke persondata har I på mig, og hvad gør I med dem?
Vi indsamler typisk navn, e-mail adresse, din virksomheds adresse osv., for at du skal kunne anvende e-conomic. Ved oprettelsen af dig som kunde, ligger der et unikt bruger-id i systemet, og et aftalenummer, der fungerer som et kundenummer. Vi kan fx også tracke hvordan du anvender systemet, så vi kan forbedre det, og finde evt. fejl og mangler. Du kan læse meget mere i vores Privatlivspolitik.
11. Hvilke underdatabehandlere bruger I hos e-conomic?
Vi bruger flere forskellige underdatabehandlere for at kunne levere vores produkt til dig. Her kan du kan se en liste over, hvilke underdatabehandlere vi anvender.
12. Hvad er 'consent'?
'Consent' hedder på dansk 'samtykke'. Der kan være flere situationer der kræver et gyldigt samtykke. I e-conomic beder vi for eksempel om dit samtykke, hvis du vil modtage nyhedsmails. Få mere at vide i denne video:
Konceptet "Samtykke" er både en del af GDPR-lovgivningen og Markedsføringsloven. Samtykke kræves blandt andet hvis du vil modtage e-mails fra virksomheder. Kravet om samtykke skal beskytte dig fra at modtage e-mails, som du ikke ønsker eller finder relevante (også kaldet (SPAM).
I e-conomic vil vi gerne sende dig e-mails, som forbedrer din oplevelse med dit regnskabsprogram. Du får fx hjælp til moms og årsafslutning i e-conomic, invitationer til relevante events og kurser og muligheden for at prøve nye tillægsmoduler som den første. Der er altså rigtig meget værdi at hente i e-mails fra e-conomic. Du kan tilmelde dig her, og til enhver tid trække dit samtykke tilbage.
I e-conomic vil vi gerne sende dig e-mails, som forbedrer din oplevelse med dit regnskabsprogram. Du får fx hjælp til moms og årsafslutning i e-conomic, invitationer til relevante events og kurser og muligheden for at prøve nye tillægsmoduler som den første. Der er altså rigtig meget værdi at hente i e-mails fra e-conomic. Du kan tilmelde dig her, og til enhver tid trække dit samtykke tilbage.
13. Hvordan forholder vi os til Bogføringsloven og GDPR ved sletning af persondata?
Artikel 17 i GDPR omhandler 'Retten til at blive glemt', hvor der blandt andet står, at man skal slette persondata man har indsamlet, når det formål, de er indsamlet til, ikke længere gør sig gældende.
Det følger dog også af artikel 17, stk 3, litra b at man ikke har ret til at blive glemt (at få slettet sine personoplysninger) når den dataansvarlige skal gemme oplysningerne for at overholde en retlig forpligtigelse - herunder bogføringsloven.
Virksomheder er forpligtet til at opbevare regnskabsdata i 5 år efter Bogføringsloven. Dette er en retlig forpligtelse, som går forud for GDPR. For at gøre dette så nemt som muligt for dig som kunde, har vi aktivt valgt at integrere dette i anonymiserings funktionen i e-conomic. Den er sat op således, at det ikke er muligt at anonymisere data, der er mindre end 5 år gammelt. Dette er netop med henblik på at hjælpe dig som kunde med ikke at komme til at forsømme den retlige forpligtelse efter Bogføringsloven. Når først der ér gået 5 år, er der dog herefter fuld mulighed for at anonymisere personhenførbare informationer.
Det følger dog også af artikel 17, stk 3, litra b at man ikke har ret til at blive glemt (at få slettet sine personoplysninger) når den dataansvarlige skal gemme oplysningerne for at overholde en retlig forpligtigelse - herunder bogføringsloven.
Virksomheder er forpligtet til at opbevare regnskabsdata i 5 år efter Bogføringsloven. Dette er en retlig forpligtelse, som går forud for GDPR. For at gøre dette så nemt som muligt for dig som kunde, har vi aktivt valgt at integrere dette i anonymiserings funktionen i e-conomic. Den er sat op således, at det ikke er muligt at anonymisere data, der er mindre end 5 år gammelt. Dette er netop med henblik på at hjælpe dig som kunde med ikke at komme til at forsømme den retlige forpligtelse efter Bogføringsloven. Når først der ér gået 5 år, er der dog herefter fuld mulighed for at anonymisere personhenførbare informationer.
14. Hvordan kan jeg få slettet mine persondata?
Hvis du som tidligere kunde eller som modtager af vores nyhedsmail vil have slettet dine persondata fra e-conomic, kan du sende en mail til privacy.economic@visma.com. Husk at, du selv skal slette evt. cookies fra din browser.
Hvis du opsiger dit abonnement, går der automatisk en sletteprocedure igang, hvorfor du ikke behøver at foretage dig noget. Du vil dog få mulighed for at vælge en arkivlicens, hvor du kan vælge at gemme dine regnskabsdata og tilhørende persondata hos os i de næste 5 år på grund af kravet i bogføringsloven. Læs mere om arkivlicens her.
Hvis du opsiger dit abonnement, går der automatisk en sletteprocedure igang, hvorfor du ikke behøver at foretage dig noget. Du vil dog få mulighed for at vælge en arkivlicens, hvor du kan vælge at gemme dine regnskabsdata og tilhørende persondata hos os i de næste 5 år på grund af kravet i bogføringsloven. Læs mere om arkivlicens her.
15. Skal jeg slette alle tidligere kunder som jeg har data på i e-conomic?
Ikke nødvendigvis. Husk, at bogføringsloven kræver, at du gemmer alt bogføringsmateriale i Danmark, i 5 år fra udgangen af regnskabsåret. Hvis du ingen transaktioner har haft på kunden de seneste 5 år, kan du anonymisere kundedata i e-conomic hvis du ønsker det.
NB! Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
NB! Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
16. Hvor ser jeg mine posteringer?
Som superbruger er du dataansvarlig i forhold til de brugere du har oprettet i systemet. Det indebærer, at de skal henvende sig til dig, hvis de skal slettes fra systemet.
Du kan enten slette brugerkontoen, eller anonymisere personoplysningerne på brugerens stamdata.
Du kan enten slette brugerkontoen, eller anonymisere personoplysningerne på brugerens stamdata.
17. Hvad gør jeg hvis en af mine kunder gerne vil slettes?
Hvis en af dine tidligere kunder gerne vil udøve sin 'ret til at blive glemt', skal du vurdere hvorvidt der ligger transaktioner på kunden i dit regnskab i løbet af de seneste 5 år. Bogføringslovens opbevaringspligt gælder nemlig 5 år efter udløbet af et regnskabsår.
Hvis du ingen transaktioner har haft på kunden de seneste 5 år, kan vi hjælpe dig med at anonymisere dine kunder i e-conomic. Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
Hvis du ingen transaktioner har haft på kunden de seneste 5 år, kan vi hjælpe dig med at anonymisere dine kunder i e-conomic. Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
18. Hvad gør jeg som administrator i e-conomic, hvis min kunde ringer og vil slettes?
Allerførst, hvis kunden selv betaler for e-conomic, skal han selv opsige aftalen, og evt. kontakte os, hvis han ønsker yderligere sletning.
Hvis kunden ikke selv betaler, sørg for, at den der henvender sig, er den rette person, dvs ikke en uvedkommende, og få gerne henvendelsen skriftlig, for eksempel via e-mail.
Hvis det er en aftale, du som administrator betaler for, skal du opsige aftalen inde i applikationen. Ud over det, gælder bogføringsloven i forhold til opbevaring af selve regnskabsmaterialet i forhold til yderligere sletning, og den kan du forholde dig til i dette tilfælde.
Hvis du ingen transaktioner har haft på kunden de seneste 5 år, kan vi hjælpe dig med at anonymisere historikken fra før denne periode. Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
Hvis kunden ikke selv betaler, sørg for, at den der henvender sig, er den rette person, dvs ikke en uvedkommende, og få gerne henvendelsen skriftlig, for eksempel via e-mail.
Hvis det er en aftale, du som administrator betaler for, skal du opsige aftalen inde i applikationen. Ud over det, gælder bogføringsloven i forhold til opbevaring af selve regnskabsmaterialet i forhold til yderligere sletning, og den kan du forholde dig til i dette tilfælde.
Hvis du ingen transaktioner har haft på kunden de seneste 5 år, kan vi hjælpe dig med at anonymisere historikken fra før denne periode. Hvis du ingen transaktioner har haft på kunden overhovedet, kan du blot slette kunden.
19. Skal jeg som administrator slette interne kunder, som ikke er kunder hos mig mere?
Det korte svar er nej.
Når det er påkrævet af dig som dataansvarlig at gemme oplysningerne for at overholde en retslig forpligtelse, skal du overholde den nationale lovgivning. Det vil i dette tilfælde sige bogføringslovens krav om, at alt regnskabsmateriale skal gemmes i 5 år efter regnskabsårets afslutning.
Hvis du alligevel vil rydde op i tidligere kunders data, kan du vælge at anonymisere de pågældende kunder, såfremt der ikke er åbne poster på kunden og data er mere end 5 år gammelt.
Når det er påkrævet af dig som dataansvarlig at gemme oplysningerne for at overholde en retslig forpligtelse, skal du overholde den nationale lovgivning. Det vil i dette tilfælde sige bogføringslovens krav om, at alt regnskabsmateriale skal gemmes i 5 år efter regnskabsårets afslutning.
Hvis du alligevel vil rydde op i tidligere kunders data, kan du vælge at anonymisere de pågældende kunder, såfremt der ikke er åbne poster på kunden og data er mere end 5 år gammelt.
20. Hvad betyder 'anonymisering'?
Anonymisering er et godt alternativ til at slette data, hvis du fx stadig har brug for aggregeret data til analyseformål og statistikker. Så længe alle persondata er anonymiseret (fx ved at skrive 'Navn1' i stedet for selve navnet), og ingen kan finde ud af hvilken fysisk person der gemmer sig bag de data man analyserer.
21. Hvad betyder det at være 'compliant'?
Ordet 'compliant' dukker tit op i sammenhæng med GDPR. Det betyder ganske enkelt, at man efterlever de love og regler der er på et givet område.
22. Er e-conomic GDPR compliant?
Vi har et Legal & Compliance team som til daglig arbejder med GDPR compliance i Visma e-conomic. Vi har erhvervet en ISAE 3000 erklæring. Denne revisorerklæring indeholder en vurdering af en virksomheds GDPR-compliance niveau. Formålet med erklæringen er at få en ekstern uafhængig tredjepart til at tjekke, dokumentere og bekræfte vores procedurer relateret til behandling af personoplysninger. Dette er gjort med henblik på at sikre, at det beskyttelsesniveau som virksomheden er forpligtet til, bliver realiseret i praksis. Vi har i Visma e-conomic således fået tjekket alle vores procedurer for, hvordan vi reelt beskytter din regnskabsdata i vores rolle som databehandler. Vi er i denne forbindelse meget stolte af at kunne oplyse, at vi i ISAE 3000 erklæringen ingen anmærkninger har fået. Det betyder, at erklæringen påviser, at vi lever op til GDPR i vores rolle som databehandler og leverer det compliance-niveau som vi er forpligtede til overfor dig som kunde.