Lesetid: 3 minutter

Vi tok en en ringerunde til kundene våre for å høre hvordan de lagret de ansattes personopplysninger. Det vi fant var urovekkende.

Kundene våre er stort sett bedrifter med 20-200 ansatte, og representer nok den vanlige norske bedriften de fleste av oss er ansatt i. Det var derfor spennende å høre hvordan de forholdt seg til nye personvernlover, krav om mulighet for innsyn og generell digitalisering av papirbasert informasjon.

Og svarene varierte overraskende lite.

Noen bedrifter, ofte en del av større konsern, hadde innført et moderne HR-system hvor de lagret personaldokumenter på en trygg måte. Helt (eller delvis) i henhold til GDPR og personvernlover, men med god mulighet for tilgangskontroll, innsyn for ansatte og sletting i henhold til GDPR.

De fleste andre lagret personaldokumenter på et filområde på bedriftens server. Av de 50 bedriftene vi kontaktet denne dagen gjaldt dette nærmere 30.

Med andre ord: Langt over halvparten av de spurte anga dette som sitt primære lagringsområde for bedriftens personaldokumenter (i tillegg til papir). Er dette godt nok?

Det enkle svaret på dette er nei.

Slik ser manges personalmappe-struktur ut. Denne kan IT-ansvarlig, og kanskje andre uvedkommende, når som helst snoke i. Legg også merke til «Sluttet»-mappen, som ofte inneholder data som rett og slett er ulovlig å oppbevare.

IT-ansvarlig har tilgang til alt

Uten å gå for detaljert til verks, vil du ikke kunne ivareta kravene som loven stiller til arbeidsgivers ansvar for at personalmappen holdes oppdatert og blir behandlet på riktig måte.

En mappestruktur, selv med god rettighetskontroll, vil ha problemer med å sikre at den ansatte får innsyn i det den har krav til, og at leder eller andre i bedriften får innsyn i kun det de trenger vite om den ansatte.

Et enkelt eksempel er IT-ansvarlig, som gjennom sin rolle som administrator på filserveren sannsynligvis kan se alle dokumenter lagret på serveren om vedkommende vil. Arbeidskontrakter, personlighetstester, varslingssaker – alt som er lagret på serveren vil være innenfor rekkevidde.

Still deg selv disse spørsmålene

Nei, server eller filstruktur er ikke godt nok. Da ville jeg faktisk heller gått for løsningen til en av våre kunder – som vi må innrømme vi humret litt av. Bedriften lagret alle personaldokumenter i en fysisk safe! Veldig gammeldags, men faktisk sikrere og mer i henhold til moderne personvernlover enn en filstruktur på serveren.

Vår anbefaling er å stille deg selv følgende spørsmål når det gjelder lagring av personaldata:

  • Hva har vi, og hva trenger vi?
  • Hvorfor?
  • Hvor lenge er det behov for det?
  • Hvordan oppbevares det?
  • Hvem har tilgang?

Svarene her vil gi kunne gi en pekepinn på om dere har tilfredsstillende kontroll og rutiner for håndtering av personaldokumenter.

Har dere ikke dette, er det på høy tid å ordne det – for eksempel med å få på plass et system som hjelper dere med å strukturere dataen på en måte som tilfredsstiller regelverket.

Det er garantert mye billigere enn GDPR-boten dere risikerer å få.

Artikkelforfatteren

Tor Ommund Ljosland

Daglig leder i Proplan Utvikling. Sammen med sitt team av utviklere syr han sammen systemer som forenkler hverdagen din.