Med gode prosesser og solide policyer etablerer du grunnlaget, men det er gjennom automatisering og tekniske løsninger at du virkelig sikrer at virksomheten er GDPR compliant.
GDPR, eller General Data Protection Regulation, ble gjort gjeldende i Norge i 2018. Dette hadde flere praktiske konsekvenser for norske arbeidsgivere. Først og fremst måtte de sikre at behandlingen av personopplysninger, både av ansatte og kunder, er i samsvar med GDPRs strenge regler:
– Den største utfordringen som arbeidsgivere står overfor når det kommer til GDPR, er at de ikke har automatisert prosessene sine ved å ta i bruk tekniske løsninger. De fleste har nok beskrevet dette prosessuelt, og kanskje har de også en policy for behandling av personvernopplysninger. Noen har også kommet et stykke på vei og har noen rutiner på plass, men det vi ofte ser er at alt for mye gjøres manuelt. Da har det en tendens til å bli mye papirer og tungvinte prosesser og høyere risiko for feil – vi kaller dette «EDB til fots». For de minste bedriftene kan det kanskje være overkommelig å jobbe sånn, men for de større bedriftene, med mange ansatte og mye informasjon, kan det fort bli ganske uhåndterlig å sikre at man følger reglene, sier Marita Johansen som er Consultant Manager i konsulentselskapet Sariba som fokuserer på HR-teknologi, HR-strategi og HR-prosess.
Marita Johansen
Consultant Manager i Sariba
Løsninger for hele ansattreisen
Helt siden Sariba ble stiftet i 2000 har de levert HR-systemer med en overordnet visjon om at ledere og medarbeidere skal få en bedre og mer effektiv hverdag. Selskapet er representert i Norge, Sverige og Spania, med cirka 100 medarbeidere fordelt på kontorer i Oslo, Stavanger, Stockholm, Madrid og Granada.
– Vi tilbyr løsninger for hele ansattreisen fra før du blir ansatt til etter at du har sluttet. Siden vi er opptatt av brukervennligheten og løsninger som forenkler hverdagen til folk, setter vi medarbeiderne i sentrum, forklarer Johansen.
Saribas tjenester er universelle, skalerbare og tilpasset hver enkelt kundes behov, uavhengig av virksomhetens størrelse eller bransje. Deres tilnærming til HR-teknologi er å tilby helhetlige, smarte løsninger basert på SAP-produkter, samt andre godt integrerte systemer. De legger stor vekt på brukervennlighet og effektivisering av prosesser for å forbedre hverdagen til både arbeidsgivere og ansatte.
– En størst mulig grad av automatisering er det vi jobber for fordi det letter hverdagen til folk, derfor er vi opptatt av teknologi og hvordan vi kan benytte teknologien for å finne de beste og smidigste løsningene. Det er teknologi som må til for å skape mer effektive prosesser, tilføyer hun.
GDPR er krevende
Mange syns at hele personvernforordningen med alle dens regler nærmest er en uoverkommelig barriere, og mange kviet seg nok for å sette i gang da reglene ble iverksatt. Saribas tilnærming gjør det enklere å komme i mål med det som trengs.
– Hovedårsaken til at så mange ikke har startet er at GDPR-området er stort og komplekst, blant annet fordi HR-data går langt inn i alle deler av en organisasjons virksomhet. Normalt starter vi nye prosjekter med en analyse. Da ser vi på virksomhetens policyer og hvilke data de har slik at vi blir klar over datamengde og typen data samt hvilke policyer som gjelder. Deretter definerer vi hva virksomheten trenger og hvor man må gjøre forbedringer, fortsetter hun.
Etter analysefasen pleier Sariba å lage løsninger for prosessene det er enklest å løse først og på de områdene som en automatisering gir mest verdi. Deretter løser de mer og mer av den større kompleksiteten etter hvert som de går videre. På den måten tilpasser de løsningene slik at de svarer til kundenes behov.
– Med andre ord pleier vi å levere systemer i en trinnvis utvikling der vi begynner med å plukke den lavest hengende frukten først. En slik trinnvis prosess gjør at systemene kan skaleres både i tråd med kundenes behov og lommebok.
Hva tenker du når vi sier GDPR og HR?
Har du full kontroll, eller synes du det er utfordrende? Det har gått noen år siden GDPR-reglene ble implementert, og selv om vi regner med at du har god kontroll, trenger det ikke å bety at du synes det er enkelt å håndtere. Heldigvis finnes det god systemstøtte for håndtering av dette, systemstøtte som gjør at du kan være trygg på at regelverket både følges og håndteres, til enhver tid.
For å sikre GDPR-samsvar kreves en rekke tiltak
Det er essensielt med et rapporteringssystem som enkelt gir oversikt over persondata, inkludert lagringsperiode og sletteprosedyrer. Dette sikrer kontroll over hvor lenge data lagres. Personalarkivets tilgangsrettigheter må også styres nøye for å oppfylle GDPRs krav, og sikre at kun relevante personer får tilgang til nødvendige data.
En annen viktig faktor er loggføring av datahåndtering, noe som inkluderer oversikt over når dataene er endret eller vist, og av hvem. Dette hjelper til å identifisere hvem som har gjort endringer og hvordan dataene så ut også før endringene ble foretatt.
Når det gjelder datalagring, er lagringstiden avgjørende. Noe data, eksempelvis data som er knyttet til ansatte som har vært eksponert for farlige stoffer, kan kreve lagring i opptil 50 år. Slike data bør håndteres sånn at kun et begrenset antall personer har tilgang. Tilgang til data skal også baseres på roller og autorisasjoner, og det er viktig med klare regler for tilgangsbegrensning.
– I noen tilfeller kan det også være behov for å forbedre eksisterende arkiver. Vi har systemer som muliggjør overføring av disse til en sikret skyløsning med tilgangsstyring. Dette gjør det også mulig å gi ansatte tilgang til data som gjelder dem selv, i tråd med deres rett til innsyn.
Sikkerhet i alle ledd
For å dekke hele GDPR-området samarbeider Sariba med mange ulike partnere som systemleverandører, advokater og en rekke andre. Da er det utrolig viktig med sikkerhet i alle ledd.
– Hvis vi trenger en integrasjon som går til et eksternt system, for eksempel via en server som ikke er trygg, så har vi et problem. Alle slike saker tenker vi også nøye igjennom og håndterer på en sikker og god måte. Vi går for eksempel heller ikke inn og diskuterer samarbeid med noen partner som ikke har tenkt GDPR i sitt system siden dette er så fundamentalt viktig. Systemene skal være GDPR compliant både «by default» og «by design», forklarer Johansen.
– Generelt sett er det mange som fortsatt har en vei å gå i å integrere teknologiske løsninger med fullt GDPR-samsvar. Nå bør virksomhetene som henger etter komme i gang. Vi kan hjelpe dem med å få dette på plass på en smidig måte og i form av teknologiske løsninger. Da slipper de å drive med «EDB til fots» som er risikabelt med tanke på hvor lett det er å gjøre feil når prosessene er manuelle, avslutter Marita Johansen.
For å få full kontroll på dine HR-data tilbyr vi deg følgende
– Rapporter – gir deg kontroll på mengden innsamlede personopplysninger
– Sletteprogrammer – Lar deg enkelt slette de dataene du ikke lenger kan, og skal oppbevare
– Et digitalt personalarkiv – gir deg trygghet på at data lagres trygt
– Program for autorisasjoner – gir deg trygghet på at kun de som skal se dataene, kan se dataene
– Logging av behandlede data – gir deg oversikt over omfang av de behandlete data
La oss hjelpe deg med å kartlegge dine GDPR-behov, og sammen finner vi ut av hvilke løsning som er den aller beste for nettopp deg og din bedrift. Les mer på sariba.com.
Av Tom Backe