Mats Sandvig

Det er mange grunner til å ha et HRM-system. En av dem er at det hjelper deg med å få kontroll på arbeidet med GDPR.

I sommer trådte EUs nye personvernregelverk, GDPR, i kraft i Norge. Det får betydning på mange områder; ikke minst for den store mengden personopplysninger alle virksomheter behandler om sine egne ansatte.

Hvis det fortsatt ligger referater fra medarbeidersamtaler og sykefraværsoppfølging, feriesøknader, arbeidsavtaler, advarsler, adresselister og feriesøknader lokalt på PC-en til lederen, i en perm hos HR eller kanskje i diverse e-postkasser, er det på høy tid å ta grep for å sikre at virksomheten ikke bryter det nye regelverket, med de alvorlige følgene det kan få.

Fem viktige spørsmål

For å sikre at virksomheten opererer i henhold til det nye personvernregelverket, er det fem spørsmål det er spesielt viktig å avklare:

  • Hvilke personopplysninger lagres om de ansatte, og er noen av disse opplysningene sensitive?
  • Hvor er personopplysningene om de ansatte fysisk lagret/oppbevart?
  • Hvordan sikres de ansattes rett til innsyn i personopplysninger som er lagret om dem?
  • Hvordan sikres de ansattes rett til å korrigere personopplysninger?
  • Hvordan sikres at personopplysninger slettes/anonymiseres når det ikke lenger er hjemmel for å oppbevare/behandle opplysningene?

Jeg skal gå kjapt gjennom disse fem punktene, og argumentere for at HRM-systemet er godt egnet til å løse mange av disse problemstillingene.

Hvilke opplysninger lagres – og hvor lagres de?

De to første spørsmålene er vanligvis de mest omfattende, og noe de fleste virksomheter forhåpentligvis har brukt en del tid på gjennom forberedelsene til GDPR.

Når kartleggingen er gjennomført, er det mitt råd å lage retningslinjer som alle ansatte og ledere må forholde seg til. Retningslinjene må være tydelige på hvordan alle typer personopplysninger de ansatte kommer i berøring med skal behandles.

Gjennom retningslinjer kan man sikre at personopplysninger ikke flyter fritt i organisasjonen, uten at noen har sentral oversikt over hvordan de behandles.

Unngå e-post

E-post er en kanal som bør behandles spesielt i retningslinjene, fordi det er et område hvor det syndes mye. For å gjøre det helt klart: E-post bør ikke brukes til å utveksle personopplysninger.

Det er flere ting som gjør e-post problematisk. For det første er e-post i utgangspunktet en usikker kanal som er mulig å «avlytte» for uvedkommende. For det andre blir det lagret kopier av e-post i postboksen til alle avsendere og mottakere. Det gjør det svært krevende for virksomheten å holde oversikt over hvor personopplysninger er lagret, og dermed sikre de ansatte retten til innsyn, retting og sletting. For det tredje er det umulig å vite hvilke servere som behandler e-posten på vei fra avsender til mottaker, og dermed om disse serverne tilfredsstiller kravene som stilles i GDPR.

Dette er i seg selv gode argumenter for å unngå å sende personopplysninger i åpen e-post. Når det gjelder sensitive personopplysninger, som blant annet helseopplysninger, er det enda viktigere at disse ikke sendes på ukryptert e-post.

Det betyr blant annet at ansatte ikke kan sende varsel om sykefravær til leder på e-post, og at ledere må ha rutiner for å slette slik informasjon fra mobiltelefoner og PC-er.

Infotjenesters juridiske rådgivere anbefaler uansett, uavhengig av GDPR, at ansatte ikke varsler sykefravær på SMS eller e-post.

Bruk HRM-systemet

Det er ikke vanskelig å argumentere for at HRM-systemet er et godt sted for å håndtere de fleste personopplysningene virksomheten behandler om de ansatte.

Med skybaserte prosesser for sykefraværsoppfølging, onboarding, medarbeiderutvikling osv. er det ingen grunn til at det skal sendes dokumenter frem og tilbake på e-post og lagres kopier lokalt på lederes og ansattes PC-er.

Hvis opplysningene må innom Word-dokumenter eller epost, må det være rutiner for å slette disse. Dersom leder har en lokal kopi på sin egen PC av referatet fra medarbeidersamtalen eller sykefraværsoppfølgingen er du like langt (eller kort).

Selvbetjent av den ansatte

Ved å oppbevare personopplysninger i et system som den ansatte selv har innlogging til, vil det samtidig være lett å sikre retten til innsyn.

HRM-systemet er et slikt system, hvor den ansatte er inne jevnlig, blant annet for å søke ferie og permisjon, føre reiseregninger, forberede seg på medarbeiderutvikling og håndtere sykefravær.

Å bruke HRM-systemet til det meste av personopplysninger har den fine bieffekten at datakvaliteten går opp, fordi den ansatte selv vedlikeholder informasjonen om seg selv. Det sikrer samtidig de ansattes rett til å endre mange av opplysningene virksomheten oppbevarer om dem.

Hvis mange opplysninger eies av lønnssystemet, hvor de ansatte ikke har egen innlogging, vil virksomheten få en manuell prosess med å oppdatere og rette informasjon om de ansatte.

Et viktig aspekt i GDPR er at bare de som har tjenstlig behov for personopplysningene får innsyn. Gjennom et HRM-system med god rollestyring, kan du for eksempel sikre at bare sykefraværskoordinator og leder har innsyn i sykefraværsdokumentene.

Sikre sletting og anonymisering

Når virksomheten ikke lenger har hjemmel til å behandle personopplysninger om den ansatte, må det være rutiner for å slette eller anonymisere disse opplysningene.

Ved å legge et godt grunnlag helt fra nyansettelsen, vil det være langt enklere å overholde denne plikten. Da vil alle personopplysninger være lett å finne igjen, og kan håndteres uten risiko for at det ligger ukjente kopier på ulike steder i virksomheten.

Det gjør det ikke bare enklere for virksomheten å følge regelverket, men er også god personalbehandling.

LES MER: Her kan du lese mer om HRM-systemet Simployer