Personvern

Våre brukeres tillit er av største viktighet for oss og derfor følger vi en strikt integritetspolicy. Den forklarer hvordan og hvorfor vi samler inn og anvender informasjonskapsler (cookies), og hvordan vi beskytter brukernes integritet.

Bruk av informasjonskapsler og andre måleverktøy

Vi bruker informasjonskapsler for å gjøre det lettere å bruke våre websider og kan brukes for å personalisere visse deler av innholdet. En informasjonskapsel er en liten tekstfil som sendes fra vår webserver og lagres av din nettleser. Informasjonen som lagres kan være opplysninger om hvordan våre brukere har surfet på og anvendt våre nettsider, og om hvilken nettleser de har brukt.

Vi anvender statistikk om brukere og trafikk/trafikkleverandører i aggregert form. Statistikken inneholder aldri noen form for personlig informasjon, alt er anonymt. IP-adresser lagres ikke i vår database der vi lagrer atferd på nettstedet, derfor kan informasjon om deg som bruker aldri kobles sammen med din identitet. Din IP-adresse lagres av sikkerhetsmessige årsaker bare i de tilfeller du selv aktivt registrerer deg på nettstedet.

Formål:

  • Utvikle og forbedre nettstedet gjennom å forstå hvordan det anvendes.
  • Beregne og rapportere brukerantall og trafikk.
  • Gjøre det lettere for deg å navigere på nettstedet.
  • Gjøre det mulig for systemet å kjenne igjen faste brukere for å kunne tilpasse tjenestene.
  • Iblant anvender vi tredjepartsinformasjonskapsler fra andre firma for å gjøre markedsundersøkelser og trafikkmålinger, og for å forbedre funksjonaliteten på nettstedet.

Slik forhindrer du at informasjonskapsler lagres

Du kan slette informasjonskapsler fra din harddisk når som helst, men dette gjør at dine personlige innstillinger forsvinner. Du kan også endre innstillingene i din nettleser slik at den ikke tillater at informasjonskapsler lagres på din harddisk. Dette gir imidlertid dårligere funksjonalitet på visse websider, kan forhindre tilgang til medlemssider og gjøre at deler av innhold og enkelte funksjoner ikke blir tilgjengelige.

Hvis du ikke ønsker å bli sporet av Google Analytics kan dette deaktiveres på adressen: http://tools.google.com/dlpage/gaoptout.

Mer informasjon om hvordan du kan unngå informasjonskapsler kan du lese på www.allaboutcookies.org.

Til hovedsiden

PERSONVERNERKLÆRING
Behandling av personopplysninger i Inter Revisor AS

Denne personvernerklæringen forteller hvordan Inter Revisor AS samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av personopplysninger. Her får du nærmere informasjon om hvilke personopplysninger vi typisk samler inn, hva vi bruker opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har dersom vi har personopplysninger om deg.
Henvendelse om vår behandling av personopplysninger kan rettes til
Inter Revisor AS
PB 1211 – 2806 Gjøvik
karim@interrevisor.no

Henvendelsen vil bli fulgt opp av vår personvernansvarlig. Du kan også rette din henvendelse til din kontaktperson hos oss. Dato for siste endring i vår personvernerklæring er 01.09.2018

Oversikt over personvernerklæringen

1 Lovgivning og bransjenormer
2 Når samler vi inn personopplysninger
3 Behandlingsansvarlig og databehandler
4 Dine rettigheter
4.1 Innsyn
4.2 Sletting og retting
4.3 Klage
5 Personopplysninger som vi samler inn og hva vi bruker dem til
5.1 Oppdrag etter revisorloven
5.2 Oppdrag etter regnskapsførerloven
5.3 Oppdrag som ikke er lovregulert
5.4 Plikter etter hvitvaskingsloven
5.5 Kundekontakt og markedsføring
5.6 Bruk av våre nettsider www.interrevisor.no
5.7 Medarbeidere og jobbsøkere
6 Informasjonssikkerhet, taushetsplikt og oppbevaring
7 Overføring av personopplysninger
7.1 Oppbevaring i EØS
7.2 Overføring av personopplysninger som følge av lov
7.3 Vår bruk av databehandlere

1 Lovgivning og bransjenormer

Inter Revisor har offentlig godkjenning fra Finanstilsynet etter revisorloven og regnskapsførerloven. Finanstilsynet fører tilsyn med at vi driver virksomheten vår i samsvar med lovgivningen. Nedenfor kan du lese mer om de kravene lovgivningen stiller til vår innsamling, oppbevaring og sikring av opplysninger, i tillegg til kraven i personvernreglene.
Det er utarbeidet en bransjenorm for behandling av personopplysninger i revisjonsbransjen. Det er også utarbeidet en atferdsnorm for behandling av personopplysninger i regnskapsførerbransjen. Vi følger disse bransjenormene i vår virksomhet. 

2 Når samler vi inn personopplysninger? 

Vi samler inn personopplysninger i forbindelse med

  • Utførelse av våre oppdrag, inkludert revisjonstjenester (revisjon av årsregnskap, forenklet revisorkontroll av regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte kontrollhandlinger), regnskapsføring og ulike rådgivningsoppdrag
  • Kundekontroll og rapportering av mistanke etter hvitvaskingsloven
  • Kundekontakt og markedsføring 
  • Bruk av våre nettsider www.interrevisor.no
  • Ansettelser og ansatte

3 Behandlingsansvarlig og databehandler

Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger. Det inkluderer utførelse av revisjonstjenester, utarbeidelse av regnskap og skattemelding for egne revisjonsklienter. Vi er normalt behandlingsansvarlig på due diligence-oppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som behandlingsansvarlig er vi ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine personopplysninger.
I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for regnskapsføreroppdrag og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med den behandlingsansvarlige. Vi behandler dine personopplysninger i samsvar med databehandleravtalen. 

4 Dine rettigheter

Du kan utøve dine rettigheter ved å kontakte vår personvernansvarlig. Send en e-post til karim@interrevisor.no. Du skal få svar uten ugrunnet opphold, og senest innen 30 dager.
Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider. 

4.1 Innsyn

Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne personvernerklæringen.
Hvis du ber oss om innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger (personvernforordningen artikkel 12.5).

Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet. Vi er underlagt lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder en konflikt mellom deg og din arbeidsgiver. Da må du gå direkte til arbeidsgiveren og be om å få opplysningene. 


Det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag. Vi vil ikke gi innsyn i slike vurderinger, fordi revisors vurdering skal være uavhengig av muligheten til innsyn, jf. personopplysningsloven § 16 første ledd bokstav e. 

4.2 Sletting og retting

Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan også ha en berettiget interesse i å beholde opplysninger hvis det er nødvendige for å forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personopplysningsloven og annen lovgivning kreve å få rettet personopplysningene.

4.3 Klage

Ta først kontakt med vår personvernansvarlig hvis du mener vi ikke overholder personvernreglene.
Du kan også klage over vår behandling av personopplysninger til Datatilsynet.

5 Personopplysninger som vi samler inn og hva vi bruker dem til

5.1 Oppdrag etter revisorloven

Når vi utfører revisjonsoppdrag eller bekrefter opplysninger ovenfor offentlige myndigheter, er vi pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe oss forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis). Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger, slik som: 


  • Navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget. 
  • Opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
  • Vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte
  • Det vil også kunne inkludere opplysninger om enkeltpersoners straffbare forhold og lovovertredelser

5.2 Oppdrag etter regnskapsførerloven

Vi utfører også regnskapsføreroppdrag. Da er vi underlagt regnskapsførerloven. Etter regnskapsførerloven skal vi utføre oppdraget i samsvar med de lover og regler som kundens regnskap skal oppfylle (bokførings-, regnskaps- og skattelovgivningen), og følge god regnskapsføringsskikk. Det regnskapsmaterialet vi behandler på vegne av våre kunder inkluderer personopplysninger, slik som opplysninger om lønns- og arbeidsforhold.

5.3 Oppdrag som ikke er lovregulert

Vi utfører også oppdrag som ikke er regulert på denne måten i revisorloven eller regnskapsførerloven. Det inkluderer bekreftelser/attestasjoner overfor andre enn offentlige myndigheter, avtalte kontrollhandlinger, granskinger og ulike rådgivningsoppdrag. I den grad det er nødvendig å samle inn personopplysninger for å utføre disse oppdragene, skal vi vurdere om kunden har en berettiget interesse i å få utført oppdraget. I motsatt fall vil vi ikke påta oss oppdraget. På tilsvarende måte som for revisjonsoppdrag (se ovenfor), vil det være snakk om opplysninger som fremgår av dokumentasjon som er nødvendig som grunnlag for våre uttalelser, rapporter o.l. 

5.4 Plikter etter hvitvaskingsloven

Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden (på revisjonsoppdrag er det daglig leder) og reelle rettighetshavere som i siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.


Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om involverte personer. Slike meldinger er unntatt innsyn for de involverte.

5.5 Kundekontakt og markedsføring 

I vår kontakt med eksisterende, tidligere og potensielle kunder, registrer vi kontaktopplysninger om kontaktpersoner slik som navn, e-postadresse, telefonnummer og stillingsbenevnelse. Vi har en berettiget interesse i å holde kundekontakt og markedsføre våre tjenester (personvernforordningen artikkel 6.1.f).

5.6 Bruk av våre nettsider www.interrevisor.no

Vi bruker informasjonskapsler (cookies) som gjør at vårt nettsted kan kjenne igjen din datamaskin eller mobiltelefon. Vi bruker cookies for å samle inn besøksstatistikk på våre nettsider. For å samle informasjon vedrørende trafikk på våre nettsider og hvilke sider brukeren besøker, bruker vi analyseverktøyet Google Analytics.

5.7 Medarbeidere og jobbsøkere

Personopplysninger om ansatte som vi behandler er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende og utdannelse/stillingsnivå. Grunnlaget er oppfyllelse av arbeidsavtalen (personvernforordningen artikkel 6.1.b) samt å oppfylle vår plikt til å rapportere til opplysninger om ansatte til offentlige myndigheter som NAV og Skatteetaten (personvernforordningen artikkel 6.1.c). Personopplysninger blir oppbevart så lenge medarbeideren er ansatt hos oss, og slettes ett og et halvt år etter at medarbeideren har sluttet.


Dersom du søker jobb hos oss, trenger vi å behandle opplysninger om deg for å vurdere din søknad. Grunnlaget er tiltak på søkerens anmodning før en ev. arbeidsavtale blir inngått (personvernforordningen artikkel 6.1.b). Personopplysninger om søkere som ikke blir ansatt, oppbevares i inntil ett år. 

6 Informasjonssikkerhet, taushetsplikt og oppbevaring


Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved hjelp av kryptering (dette gjelder såkalte særlige kategorier personopplysninger, personopplysninger om straffbare forhold og lovovertredelser og fødselsnummer).
Utvidet informasjon om informasjonssikkerhet er tilgjengelig for våre kunder på forespørsel.
Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet, både i forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.

Etter revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet og betryggende måte i minst ti år. Etter hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonen er avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen som inneholder personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).

I den grad vi oppbevarer personopplysninger på oppdrag som ikke er omfattet av revisorloven, gjør vi det fordi det er nødvendig for å følge opp oppdraget forsvarlig. Personopplysningene slettes normalt fem år etter at oppdraget er avsluttet. 

7 Overføring av personopplysninger

7.1 Oppbevaring i EØS

Vi oppbevarer våre kundedata, inkludert alle personopplysninger, i Norge eller andre EØS-land. Det samme gjelder opplysninger om medarbeidere og jobbsøkere. Vi benytter kun databehandlere som oppbevarer opplysningene i Norge eller andre EØS-land.

For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av EU-kommisjonen, bindende virksomhetsregler for et konsern eller gruppe av foretak eller til noen som er bundet av Privacy shield (USA).

7.2 Overføring av personopplysninger som følge av lov

  • Finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn 
  • Revisorer eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til vår dokumentasjon 
  • Rapportering av mistenkelige transaksjoner til Økokrim, se punkt 5.4
  • Politiet kan i visse tilfeller gis tilgang til dokumentasjonen vår 
  • Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger 
  • Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
  • Hvis vi blir innkalt som vitne i en rettsak, har vi alminnelig vitneplikt. Revisorer, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.

7.3 Vår bruk av databehandlere

Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Det inkluderer behandling av personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har databehandleravtale med alle tjenesteleverandører som behandler personopplysninger på vegne av oss


Disse er:


  • Inventum Øst AS (Citrix server / ASP)
  • 24Sevenoffice / One (kunderegister/ CRM)
  • Visma / Descartes Audit (Revisjonsprogram)

DATABEHANDLERAVTALE

I henhold til General Data Protection Regulation (GDPR) art. 28.

1. Avtalens hensikt 

Avtalens hensikt er å regulere rettigheter og plikter etter General Data Protection Regulation, heretter kalt «GDPR» eller «forordningen. Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 


2. Formål og opplysningskategorier
Vi som databehandler oppbevarer følgende personopplysninger:


  • Selskapsopplysninger: Styre – og aksjonæropplysninger herunder kontaktopplysninger, stillingsopplysninger, fødsels- og personnummer.
  • Ansattopplysninger herunder kontaktopplysninger, kontonummer, stillingsopplysninger og villkår, medlemskap i fagforening, skattetrekksopplysninger, fraværsopplysninger, naturalytelser, timelister.
  • Kundeopplysninger herunder kontaktopplysninger hos oppdragsgivers kunde, navn, adresse, informasjon om kjøp – grunnlag for fakturering, eventuelle timelister for ansatte som grunnlag.


Dette oppbevares for følgende formål:


  • Selskapsopplysninger: For korrekt registrering av behandlingsansvarlig samt oppfylle kravene etter hvitvaskingsloven.
  • Ansattopplysninger: Utbetaling av lønn og andre ytelser, samt sikre skattetrekk og innrapportering av relevante opplysninger, i henhold til oppdragsavtalen.
  • Kundeopplysninger: Fakturering på vegne av oppdragsgiver i henhold til oppdragsavtalen.


3. Databehandlers plikter

Databehandlers behandling av opplysninger skal skje innenfor de instrukser og rammer slik de er beskrevet i denne avtalen og tilknyttede lisensavtaler og brukervilkår. Databehandler skal bistå behandlingsansvarlig med å sikre at kravene i artikkel 32 til 36 om informasjonssikkerhet og avvikshåndtering ivaretas. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler plikter, så langt det er mulig, å bistå behandlingsansvarlig i å oppfylle krav til innsyn mv. i kapittel III i forordningen. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.


4. Bruk av underleverandør

Behandlingsansvarlig gir databehandler fullmakt til å inngå avtale om bruk av underleverandører i den utstrekning det er hensiktsmessig og forsvarlig. Databehandler forplikter seg til å påse at underleverandører overholder samme avtalemessige og lovmessige forpliktelser som databehandler. Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette informeres om skriftlig til behandlingsansvarlige før behandlingen av personopplysninger starter. Dersom behandlingsansvarlig motsetter seg ny bruk eller bytte av underleverandør har partene rett til å si opp avtalen med virkning fra dato for oppstart av behandling hos underleverandøren.

Databehandler benytter seg av følgende underleverandører ved behandling av personopplysninger:


  • Inventum Øst (Citrix / ASP)
  • 24SevenOffice (CRM)


Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.


5. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter forordningen, jf. særlig forordningens artikkel 32 om informasjonssikkerhet. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Avviksmelding etter forordningens artikler 33 og 34 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet og de berørte registrerte.


6. Sikkerhetsrevisjoner

Behandlingsansvarlig kan gjennomføre sikkerhetsrevisjoner eller inspeksjoner av systemer og annet som omfattes av denne avtalen. Databehandler plikter å medvirke til at dette gjennomføres innen rimelig tid fra behandlingsansvarlig retter forespørsel om dette.


7. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig i tråd med oppdragsavtale / engasjementsavtale. Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning


8. Ved opphør

Ved opphør av denne avtalen plikter databehandler, på forespørsel, å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Ved opphør skal databehandler skal innen rimelig tid, hvis ikke annet er bestemt ved lov, slette eller forsvarlig destruere alle dokumenter, data mv, som inneholder opplysninger som omfattes av avtalen, med mindre annet er avtalt.


9. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til karim@interrevisor.no eller til kundens (administrator/avtaleansvarlig hos kunden) sist oppgitte e-postadresse.


10. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Gjøvik tingrett som verneting. Dette gjelder også etter opphør av avtalen.


Sist oppdatert 01.09.2018


Log:

01.09.2018 – Første versjon av revidert Databehandleravtale etter endringer i lov om personvern, kjent som GDPR.