19. mars 2026 · 5 min lesetid
Sikker dokumentsending for regnskapsførere — hva krever GDPR?
Hver dag sender regnskapsførere i Norge dokumenter med fødselsnummer, lønnsinformasjon og skattedata til sine kunder. Årsoppgjør i januar, skattemeldinger i april, lønnsslipper hver måned. De fleste sender dem på e-post.
Datatilsynet mener det er et problem.
Lønnsslipper: må krypteres
Datatilsynet er uvanlig kategoriske på ett punkt: dersom lønnsslipper med fødselsnummer skal formidles til arbeidstakerne på e-post, må de sendes kryptert for å oppfylle kravene i personopplysningsloven.
Kilde: Datatilsynet — Kan fødselsnummeret stå på lønnsslippen?
Ikke «anbefaler.» Ikke «bør vurdere.» Må.
De fleste regnskapsbyrå sender likevel lønnsslipper som vanlige PDF-vedlegg. Ikke fordi de ikke kjenner reglene, men fordi alternativene har vært for omstendelige.
Hva regnskapsførere faktisk sender
| Dokumenttype | Innhold | Sensitivitet |
|---|---|---|
| Lønnsslipp | Fødselsnummer, lønn, skattetrekk, fagforeningskontingent | Høy |
| Årsoppgjør | Fødselsnummer, inntekt, formue, gjeld | Høy |
| Skattemelding | Fødselsnummer, alle økonomiske forhold | Høy |
| A-melding | Fødselsnummer, arbeidsforhold, lønn | Høy |
| Faktura | Org.nr, beløp, tjenestebeskrivelse | Lav-medium |
| Regnskapsrapport | Bedriftsinformasjon, resultater | Medium |
De fire første inneholder fødselsnummer. Alle fire faller under Datatilsynets anbefaling om kryptering.
GDPR artikkel 32 for regnskapsførere
GDPR artikkel 32 krever «passende tekniske og organisatoriske tiltak» for å beskytte personopplysninger. For en regnskapsfører betyr det:
Du er behandlingsansvarlig for klientenes personopplysninger mens du behandler dem. Du er ansvarlig for at de behandles sikkert — også når de overføres.
«Passende» vurderes mot risiko. Fødselsnummer + lønnsinformasjon = middels til høy risiko. Konsekvensen av lekkasje: identitetstyveri, økonomisk svindel, personlig ubehag for den ansatte.
Tilgjengelig teknologi teller. Kryptering er billig og lett tilgjengelig. Når det finnes enkle alternativer til ukryptert e-post, er det vanskelig å argumentere for at ukryptert overføring er «passende.»
Feilsending: regnskapsførerens mareritt
Det vanligste scenariet er ikke hacking. Det er at lønnsslippen til Anne havner i innboksen til Bjørn. En enkel skrivefeil i e-postadressen. Et feil navn i adressefeltet. Autofullføring som velger feil kontakt.
Resultatet: Bjørn vet nå hva Anne tjener, hva hun betaler i skatt, og hva hennes fødselsnummer er. Anne har krav på å vite om bruddet (GDPR artikkel 34), og du har plikt til å melde det til Datatilsynet innen 72 timer (GDPR artikkel 33) dersom det medfører risiko for den registrertes rettigheter.
En feilsendt lønnsslipp er et personvernbrudd. En feilsendt lønnsslipp med fødselsnummer er et personvernbrudd med meldeplikt.
Hva gjør de store byråene?
Store regnskapsbyrå bruker klientportaler eller sikre fildelingsløsninger. Klienten logger inn, henter dokumentene sine, ferdig. Sikkert og sporbart.
Men de fleste norske regnskapsbyrå er små. 1–5 ansatte. De har ikke budsjett for klientportaler som koster hundrevis av kroner per bruker per måned. Og klientene — som ofte er små bedrifter eller privatpersoner — vil ikke opprette enda en konto for å hente lønnsslippen sin.
Den praktiske løsningen
Hva trenger en regnskapsfører egentlig?
1. Kryptering uten friksjon. Dokumentet skal være beskyttet uten at du må forklare klienten hvordan de åpner en kryptert ZIP-fil.
2. Ingen konto for klienten. De skal ikke trenge å registrere seg, laste ned en app, eller huske et passord. De skal få dokumentet med minst mulig innsats.
3. Sporbarhet. Du vil vite at klienten faktisk har hentet årsoppgjøret. Ikke fordi du er nysgjerrig, men fordi de ringer deg i mai og sier «jeg har aldri fått det.»
4. Automatisk sletting. Dokumentet skal ikke ligge tilgjengelig for alltid. Hent det, les det, ferdig. Jo kortere lagringstid, jo lavere risiko.
5. Rimelig pris. 199 kr/mnd er akseptabelt. Tre timers fakturerbar tid per år. $119/mnd for ShareFile er det ikke.
Sjekkliste for regnskapsbyrået
Umiddelbart:
- Slutt å sende lønnsslipper med fødselsnummer som ukryptert vedlegg
- Vurder om årsoppgjør og skattemeldinger krever kryptering (hint: ja)
Denne måneden:
- Velg en sikker delingsløsning: klientportal, kryptert e-post, eller engangskode-tjeneste
- Oppdater personvernerklæringen med beskrivelse av hvordan klientdata overføres
- Sørg for at alle ansatte kjenner rutinen
- Bruk sladd.no for å fjerne personnummer fra dokumenter som skal deles med tredjepart
Løpende:
- Fødselsnummer sendes aldri ukryptert
- Bruk sporbare løsninger for dokumenter klienten skal bekrefte mottak av
- Hold oversikt over hvilke dokumenter som er sendt og hentet
Oppsummering
Datatilsynet krever kryptering av lønnsslipper med fødselsnummer på e-post. GDPR artikkel 32 krever «passende sikkerhet» for alle personopplysninger. Feilsending er det vanligste personvernbruddet, og konsekvensene for en regnskapsfører — med hundrevis av klienters mest sensitive data — kan bli store.
199 kr i måneden for kryptert dokumentlevering. Billigere enn én time med GDPR-opprydding etter en feilsendt lønnsslipp.
envei.no sender årsoppgjør, lønnsslipper og skattemeldinger kryptert — med engangskode til klienten. Ingen konto nødvendig. Prøv gratis →
Kilder
- Datatilsynet: Kan fødselsnummeret stå på lønnsslippen?
- Datatilsynet: Kan fødselsnummeret sendes per e-post?
- Datatilsynet: Hva bør jeg ikke sende på e-post?
- GDPR artikkel 32: Sikkerhet ved behandling
- GDPR artikkel 33: Melding til Datatilsynet om personvernbrudd
- GDPR artikkel 34: Informasjon til den registrerte om personvernbrudd
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →