Hva er GDPR? Tips for HR for å komme i gang med etterlevelse

20
nov

Hva er GDPR?

Tips for HR for å komme i gang med etterlevelse

Som jeg har skrevet tidligere, trer EUs nye personvernregler (GDPR) i kraft 25. mai 2018. De nye reglene skal styrke og samle databeskyttelse for privatpersoner i alle medlemslandene. Hver og en av oss vil dra nytte av GDPR.

Men for å sikre at reglene etterleves, har de fleste organisasjoner en jobb å gjøre. Det lønner seg absolutt å gjøre jobben, siden brudd på regelverket kan føre til knusende bøter, spesielt for mindre organisasjoner.

Selv uten trusselen om bøter lønner det seg å etterleve GDPR. Reglene belønner bedrifter som har oppdatert HR-informasjon som er tilgjengelig for de riktige personene, når de trenger det, fra ett og samme system.

GDPR fra enkeltpersoners ståsted

Kort forklart krever GDPR at alle enkeltpersoner (tenk ansatte, partnere, kunder og lignende) har rett til å få tilgang til all den personlige informasjonen du har lagret om dem – i et forståelig format. Alle har rett til å få informasjonen permanent slettet, rett til å overføre informasjonen til et annet system og rett til å bli varslet ved sikkerhetsbrudd.

Å etterleve disse reglene handler til syvende og sist om integriteten og tilgjengeligheten til systemene du lagrer HR-informasjon i. Alle bedrifter skal kunne forsikre at den personlige informasjonen lagres i et system som kobles problemfritt opp mot andre systemer. Informasjonen skal vedlikeholdes og alltid være oppdatert, kun riktige personer skal ha tilgang til den og informasjonen skal kunne eksporteres på forespørsel.

For å være ærlig er ikke de fleste lønns- og HR-systemer laget for å kunne tanke krevende behov for HR-informasjon eller informasjonsutveksling mellom forskjellige systemer. Mangel på allsidighet fører ofte til at organisasjoner og enkeltpersoner lager nye filer (som regneark) eller kjøper inn flere systemer for å håndtere den personlige informasjonen. Manglende tilkobling fører til at utdatert informasjon lagres flere steder. I slike tilfeller er det utfordrende, for ikke å si umulig å gi enkeltpersoner en oversikt over all personlig informasjon.

GDPR sett fra en organisasjons ståsted

GDPR deler ansvaret for trygg databehandling mellom behandlingsansvarlig (vanligvis HR) og databehandler (for eksempel en programvareleverandør). Behandlingsansvarlig har ansvar for utvelgelse av leverandører som overholder reglene, og behandlingsansvarlig skal gi leverandører dokumenterte instruksjoner for hvordan informasjonen skal behandles.

Leverandøren må garantere at informasjonen krypteres og er trygg ved lagring og overføring, registrere all behandling og utpeke et personvernombud (DPO) som skal dokumentere at regelverket etterleves. Listen over krav til leverandører er lang, og mange har problemer med å etterleve de strenge sikkerhetsprotokollene og tiltakene.

Hva skal HR gjøre?

I det forrige blogginnlegget mitt pekte jeg på de positive sidene av GDPR: bedriftene må ta en gjennomgang av hvordan de har lagret og overført informasjon mellom utallige systemer. Dette er en etterlengtet endring som forhåpentligvis fører til at personlig informasjon lagres i færre systemer og på en tryggere måte. I tillegg til sikkerheten vil slike endringer sannsynligvis føre til at HR ikke trenger å utføre like mye vedlikeholdsarbeid heller.

Det første trinnet er å begynne å identifisere alle stedene informasjon lagres.

For det andre må du sørge for at dine databehandlere etterlever GDPR. Begynn med å spore opp leverandørene dine og innled samtaler om de nye reglene. Å kontrollere at de er ISO-sertifisert kan være en indikasjon på at de er forberedt.

Til slutt må du også definere prinsippene for hvordan informasjon skal behandles.

Book en gratis demo av HR-system og se hvordan det kan hjelpe deg i forhold til GDPR.

Lurer du på noe? #ASKMORE

Vi tar gjerne en uforpliktende prat.

Ja takk, kontakt meg