Tre av fem bedrifter bryter GDPR – lagrer personopplysninger på filserver
Vi tok en en ringerunde til kundene våre for å høre hvordan de lagret de ansattes personopplysninger. Det vi fant var urovekkende.
Kundene våre er stort sett bedrifter med 20-200 ansatte, og representer nok den vanlige norske bedriften de fleste av oss er ansatt i. Det var derfor spennende å høre hvordan de forholdt seg til nye personvernlover, krav om mulighet for innsyn og generell digitalisering av papirbasert informasjon.
Og svarene varierte overraskende lite.
Noen få bedrifter, ofte en del av større konsern, hadde innført et moderne HR-system hvor de lagret personaldokumenter på en trygg måte. Helt (eller delvis) i henhold til GDPR og personvernlover, men med god mulighet for tilgangskontroll, innsyn for ansatte og sletting i henhold til GDPR.
De fleste andre lagret personaldokumenter på et filområde på bedriftens server. Av de 50 bedriftene vi kontaktet denne dagen gjaldt dette nærmere 30.
Med andre ord: Langt over halvparten av de spurte anga dette som sitt primære lagringsområde for bedriftens personaldokumenter (i tillegg til papir). Er dette godt nok? Det enkle svaret på dette er nei.
Les også: GDPR-utfordring løst med Proplan HRM
IT-ansvarlig har tilgang til alt
Uten å gå for detaljert til verks, vil du ikke kunne ivareta kravene som loven stiller til arbeidsgivers ansvar for at personalmappen holdes oppdatert og blir behandlet på riktig måte.
En mappestruktur, selv med god rettighetskontroll, vil ha problemer med å sikre at den ansatte får innsyn i det den har krav til, og at leder eller andre i bedriften får innsyn i kun det de trenger vite om den ansatte.
Et enkelt eksempel er IT-ansvarlig, som gjennom sin rolle som administrator på filserveren sannsynligvis kan se alle dokumenter lagret på serveren om vedkommende vil. Arbeidskontrakter, personlighetstester, varslingssaker – alt som er lagret på serveren vil være innenfor rekkevidde.
Les også: GDPR-revisjon og rapportering i Proplan HRM
Still deg selv disse spørsmålene
Nei, server eller filstruktur er ikke godt nok. Da ville jeg faktisk heller gått for løsningen til en av våre kunder – som vi må innrømme vi humret litt av. Bedriften lagret alle personaldokumenter i en fysisk safe! Veldig gammeldags, men faktisk sikrere og mer i henhold til moderne personvernlover enn en filstruktur på serveren.
Vår anbefaling er å stille deg selv følgende spørsmål når det gjelder lagring av personaldata:
- Hva har vi, og hva trenger vi?
- Hvorfor?
- Hvor lenge er det behov for det?
- Hvordan oppbevares det?
- Hvem har tilgang?
Svarene her vil gi kunne gi en pekepinn på om dere har tilfredsstillende kontroll og rutiner for håndtering av personaldokumenter.
Har dere ikke dette, er det på høy tid å ordne det – for eksempel med å få på plass et system som hjelper dere med å strukturere dataen på en måte som tilfredsstiller regelverket.
Det er garantert mye billigere enn GDPR-boten dere risikerer å få.
Vil du vite mer? Send inn skjemaet så tar vi kontakt!
Du kan også ringe eller sende oss en e-post
Denne artikkelen er opprinnelig skrevet av Tor Ommund Ljosland, Daglig leder Proplan Utvikling, i 2021.