Jak technologia wspiera bezpieczeństwo danych osobowych w biurze rachunkowym?

Zapewnienie odpowiedniej ochrony danych osobowych, jest niezwykle istotne w każdym przedsiębiorstwie. Biura rachunkowe przechowują i przetwarzają bardzo wrażliwe dane przedsiębiorców i ich pracowników. Dlatego firmy świadczące usługi księgowe w szczególności powinny zastosować wszelkie dostępne środki bezpieczeństwa. Na szczęście na rynku istnieje wiele technologii, które znacznie to ułatwiają. W poniższym artykule przedstawimy aspekty, które są niezwykle istotne w zakresie przechowywania danych osobowych klientów i ich firm.

I. Obowiązki biura rachunkowego

Od 25 maja 2018 przedsiębiorcy w całej Unii Europejskiej muszą zapewnić bezpieczeństwo przechowywania i przetwarzania danych zgodnie z RODO. Biura rachunkowe są administratorami danych osobowych np. swoich pracowników oraz podmiotem przetwarzającym dane klientów. W tym artykule skupimy się przede wszystkim na omówieniu zasad bezpieczeństwa danych klientów.

1. Rejestr czynności przetwarzania.

W rejestrze należy przedstawić proces przetwarzania danych. Z tego dokumentu klient może się dowiedzieć jak biuro rachunkowe przetwarza dane osobowe.. Szczegóły w tym zakresie można znaleźć w art. 30 ust. 1 i 2 RODO.

2. Obowiązek informacyjny.

Jeżeli to biuro rachunkowe nawiązuje pierwszy kontakt, to już podczas zbierania wstępnych danych od klienta ma obowiązek poinformować, w jakim celu będą one przetwarzane oraz jak długo będzie je przechowywać. Należy również podać podstawę prawną, z których wynikają wspomniane kwestie.

3. Zabezpieczenia techniczne i organizacyjne.

Prawo nie określa, jakich środków ma użyć biuro rachunkowe, aby zapewnić ochronę danych kontrahentów. Biuro rachunkowe ma jednak obowiązek wykazać, że zrobiło wszystko, co w jego możliwościach finansowych, aby zapewnić zabezpieczenia, jakie w jego ocenie są wystarczające..

4. Inspektor ochrony danych osobowych (IOD).

Inspektor ochrony danych osobowych ma za zadanie doradzać i monitorować, czy biuro rachunkowe funkcjonuje zgodnie z zasadami obowiązującymi z RODO. Dodatkowo pełni on funkcję łącznika pomiędzy firmą świadczącą usługi księgowe a kontrahentami i organami nadzorującymi. Biuro rachunkowe nie ma obowiązku powołania IOD, jednak jest zalecane wskazanie osoby odpowiedzialnej za nadzorowanie procesów związanych z ochroną danych osobowych.

II. Jak nowa technologia ułatwia zapewnienie bezpieczeństwa danych klientów?

Dzięki rozwojowi technologii, na rynku powstało wiele systemów, które umożliwiają zwiększenie bezpieczeństwa przechowywanych przez biura rachunkowe danych. Poniżej przedstawiliśmy rozwiązania, które warto wdrożyć w firmach świadczących usługi księgowe.

1. Przechowywanie danych w chmurze.

Firmy już nie muszą posiadać stacjonarnych serwerów, na których będą przechowywać dane. O wiele bardziej praktycznym i bezpieczniejszym sposobem jest  gromadzenie informacji w systemach chmurowych. Nie są one przede wszystkim narażone na uszkodzenia fizyczne, które mogą doprowadzić do błyskawicznej utracie danych, których przywrócenie w wielu przypadkach jest niemożliwe. Posiadają one również szereg dodatkowych przydatnych funkcjonalności i są znacznie tańsze w utrzymaniu.

2. Kopie zapasowe.

Jeśli korzystamy z przechowywania danych przez systemy chmurowe, to możemy szybko i sprawnie robić kopie zapasowe. Można to robić ręcznie lub ustawić automatyczne kopie w określonych przedziałach czasowych. Dzięki temu mamy pewność, że jeśli z jakichś powodów utracimy dane możemy szybko je przywrócić, korzystając z kopii zapasowych.

3. Szyfrowanie danych.

Przechowując dane w chmurze, możemy się zastanawiać, czy przesyłane informacje pomiędzy systemami są bezpieczne. Systemy korzystają z różnych technologii, co może mieć wpływ na różny poziom zabezpieczeń. Jednak dzisiejsza technologia sprawiła, że zaufane firmy korzystają z zaawansowanych metod szyfrowania. Większość z nich ma poziom zabezpieczeń bankowych. Takim szyfrowaniem jest np. SSL-EV. Oczywiście warto sprawdzić, w jaki sposób dane są zaszyfrowane w systemie, z którego korzysta Twoje biuro rachunkowe, jednak w większości przypadków nie powinniśmy się obawiać przed korzystaniem z takich rozwiązań.

4. Pseudonimizacja lub anonimizacja.

Dzięki pseudonimizacji  utrudniamy przypisanie danych do konkretnej osoby. Polega to na podmianie listy danych osobowych np. na numery, indeksy. Niektóre firmy stosują taki zabieg m.in. w momencie kiedy udostępniają takie informacje w celu sporządzenia jakichś statystyk. Proces jest całkowicie bezpieczny i można bez problemu przywrócić podmienione dane. Anonimizacja natomiast powoduje, że trwale usuwamy dane osobowe, pozostawiając jedynie część statystyczną danych. Oczywiście należy pamiętać, aby anonimizację w przypadku biura rachunkowego stosować w stosunku do danych, dla których jest to możliwe. 

5. Zarządzanie uprawnieniami dostępu do danych.

Warto posiadać w systemie funkcję zarządzania uprawnieniami użytkowników i dostępu do konkretnych danych. Dzięki temu można mieć pełną kontrolę nad tym, do jakich informacji ma wgląd konkretna osoba.

6. Zmiana hasła.

W niektórych systemach można wymusić na użytkownikach cykliczną zmianę hasła. Za pomocą tej opcji zmniejszymy prawdopodobieństwo włamania się na konto, z którego można zdobyć poufne dane klientów.

7. Dwuetapowe logowanie.

Przydatną opcją jest uwierzytelnienie użytkownika poprzez dwuetapowe logowanie się pracowników do systemów firmowych. W ten sposób uniemożliwiamy wejście na konto osobom nieupoważnionym. Dodatkowo zapobiega zalogowaniu się do systemu przez niebezpieczne oprogramowanie.

8. Automatyczne wylogowanie z systemu.

Coraz więcej systemów zaczyna wykorzystywać funkcję automatycznego wylogowania użytkownika po określonym czasie trwania sesji w systemie. Jest to niezwykle efektywna opcja w ochronie danych osobowych klientów, ponieważ bardzo często się zdarza, że pracownicy odchodzą od stanowiska, pozostawiając na widoku poufne dane klientów, do których każdy ma wgląd. Jest to prosty zabieg, a znacząco zwiększa poziom bezpieczeństwa.

III. Poznaj nowy wymiar księgowości

Odpowiednie zabezpieczenia są szczególnie istotne przy zdalnej obsłudze klientów. W roku 2020, kiedy wybuchła pandemia, wiele biur rachunkowych musiało nagle przejść na pracę i obsługę zdalną. Mając na uwadze dość staroświeckie metody pracy w tej konkretnej branży dla wielu było to nie lada wyzwanie. Księgowi, bez zaplecza technologicznego, często po omacku szukali sposobów i rozwiązań, aby przejść na zdalny model obsługi klientów. 

Niestety wiele wdrożonych w tym okresie procedur nie spełnia podstawowych wymagań bezpieczeństwa. Ryzyko to spada głównie na klientów, których dane mogą zostać upublicznione bądź usunięte. Dlatego przed podjęciem współpracy warto sprawdzić jakie zabezpieczenia stosuje biuro rachunkowe.

W Altera możemy pochwalić się najwyższym poziomem zabezpieczeń infrastruktury IT.

Nasza firma nie działa jak tradycyjne biuro rachunkowe – Altera powstała, aby od początku pracować całkowicie zdalnie, dzięki czemu infrastruktura IT została specjalnie przygotowana na taki model działania. Bezpieczna księgowość online – na to mogą liczyć klienci Altera. Poniżej zamieszczamy listę zabezpieczeń, która chroni nas i dane naszych klientów przed wyciekiem i zniszczeniem:

• najwyższej klasy rozproszone systemy przechowywania danych, zapewniające zabezpieczenie przed uszkodzeniem i utratą informacji;
• twarda kopia zapasowa co 2 godziny; duplikaty serwerów bazodanowych w przypadku awarii w jednej z serwerowni;
• szyfrowanie wszystkich danych w trakcie spoczynku – nieużywane przechowywane pliki są niemożliwe do odczytu przez osoby postronne;
• zasada minimalnego dostępu – każdy z pracowników ma dostęp tylko do wyselekcjonowanych danych, niezbędnych do przeprocesowania przypisanych sobie klientów;
• dwuetapowe logowanie do kont bardziej “uprzywilejowanych” – administratorzy naszych systemów są zobligowani do korzystania z weryfikacji dwuetapowej;
• rejestrowanie nietypowych zdarzeń – jeżeli wykryjemy niewłaściwe zachowania w systemie natychmiast przystępujemy do działania;
• polityka zmiany haseł – nasi pracownicy zmieniają swoje hasła raz na dwa miesiące – a kiedy Ty ostatnio zaktualizowałeś swoje?

IV. Checklista – Sprawdź, czy biuro rachunkowe prawidłowo przetwarza dane Twojej firmy.

Podczas podpisywania umowy z biurem rachunkowym przedsiębiorcy powinni upewnić się, czy ich dane będą prawidłowo przetwarzane. W tym celu warto:

1. Sprawdzić, czy zawarłeś prawidłową umowę powierzenia i czy zawiera ona pełen zakres przekazywanych danych oraz jasno określony cel
2. Sprawdzić, czy umieściłeś biuro rachunkowe w Rejestrze Przetwarzania Twojej firmy oraz Rejestrze Umów powierzenia. 
3. Upewnić się, czy otrzymałeś Klauzulę Informacyjną od biura rachunkowego. Pamięć, że klauzula powinna zawierać między innymi informacje o czasie przetwarzania danych.
4. Spytać się, czy w organizacji jest wyznaczona osoba odpowiedzialna za ochronę danych osobowych i zabezpieczenia techniczne.
5. Zadać kilka pytań w kwestii zabezpieczeń technicznych i organizacyjnych:
   • W jaki sposób są przechowywane dane?
   • Czy są tworzone kopie zapasowe i jak często?
   • W jaki sposób są szyfrowane dane firmowe?
   • Kto będzie miał wgląd do danych mojej firmy?
   • Czy pracownicy korzystają z dwuetapowego sposobu logowania i jak często zmieniają hasła do systemu?
   • Czy system posiada opcję automatycznego wylogowania po określonym czasie trwania sesji?

Są to podstawowe kwestie, na które powinien zwrócić uwagę przedsiębiorca, który rozpoczyna współpracę z firmą świadczącą usługi księgowe. Przypominamy, że właściciele przedsiębiorstw powierzają bardzo wrażliwe dane do biura księgowego, dlatego powinni się upewnić, że firma, z którą rozpoczynają współpracę, stosuje się do wymagań RODO.