Tre av fem bedrifter bryter GDPR – lagrer personopplysninger på filserver
DigitaliseringPersonal

Tre av fem bedrifter bryter GDPR – lagrer personopplysninger på filserver

Lesetid: 3 minutter

Vi tok en en ringerunde til kundene våre for å høre hvordan de lagret de ansattes personopplysninger. Det vi fant var urovekkende.

Kundene våre er stort sett bedrifter med 20-200 ansatte, og representer nok den vanlige norske bedriften de fleste av oss er ansatt i. Det var derfor spennende å høre hvordan de forholdt seg til nye personvernlover, krav om mulighet for innsyn og generell digitalisering av papirbasert informasjon.

Og svarene varierte overraskende lite.

Noen bedrifter, ofte en del av større konsern, hadde innført et moderne HR-system hvor de lagret personaldokumenter på en trygg måte. Helt (eller delvis) i henhold til GDPR og personvernlover, men med god mulighet for tilgangskontroll, innsyn for ansatte og sletting i henhold til GDPR.

De fleste andre lagret personaldokumenter på et filområde på bedriftens server. Av de 50 bedriftene vi kontaktet denne dagen gjaldt dette nærmere 30.

Med andre ord: Langt over halvparten av de spurte anga dette som sitt primære lagringsområde for bedriftens personaldokumenter (i tillegg til papir). Er dette godt nok?

Det enkle svaret på dette er nei.

Slik ser manges personalmappe-struktur ut. Denne kan IT-ansvarlig, og kanskje andre uvedkommende, når som helst snoke i. Legg også merke til «Sluttet»-mappen, som ofte inneholder data som rett og slett er ulovlig å oppbevare.

IT-ansvarlig har tilgang til alt

Uten å gå for detaljert til verks, vil du ikke kunne ivareta kravene som loven stiller til arbeidsgivers ansvar for at personalmappen holdes oppdatert og blir behandlet på riktig måte.

En mappestruktur, selv med god rettighetskontroll, vil ha problemer med å sikre at den ansatte får innsyn i det den har krav til, og at leder eller andre i bedriften får innsyn i kun det de trenger vite om den ansatte.

Et enkelt eksempel er IT-ansvarlig, som gjennom sin rolle som administrator på filserveren sannsynligvis kan se alle dokumenter lagret på serveren om vedkommende vil. Arbeidskontrakter, personlighetstester, varslingssaker – alt som er lagret på serveren vil være innenfor rekkevidde.

Still deg selv disse spørsmålene

Nei, server eller filstruktur er ikke godt nok. Da ville jeg faktisk heller gått for løsningen til en av våre kunder – som vi må innrømme vi humret litt av. Bedriften lagret alle personaldokumenter i en fysisk safe! Veldig gammeldags, men faktisk sikrere og mer i henhold til moderne personvernlover enn en filstruktur på serveren.

Vår anbefaling er å stille deg selv følgende spørsmål når det gjelder lagring av personaldata:

  • Hva har vi, og hva trenger vi?
  • Hvorfor?
  • Hvor lenge er det behov for det?
  • Hvordan oppbevares det?
  • Hvem har tilgang?

Svarene her vil gi kunne gi en pekepinn på om dere har tilfredsstillende kontroll og rutiner for håndtering av personaldokumenter.

Har dere ikke dette, er det på høy tid å ordne det – for eksempel med å få på plass et system som hjelper dere med å strukturere dataen på en måte som tilfredsstiller regelverket.

Det er garantert mye billigere enn GDPR-boten dere risikerer å få.

Proplan.net lagrer personaldata på en GDPR-vennlig måte

Artikkelforfatteren

Tor Ommund

Tor Ommund Ljosland

Daglig leder i Proplan Utvikling. Sammen med sitt team av utviklere syr han sammen systemer som forenkler hverdagen din.

Related Posts

Easee elbillader på vegg BloggDigitaliseringERPReferanserVisma.net

Slik rigger Easee seg for å håndtere den eksplosive veksten

Ole Petter Slettebakk
Ole Petter Slettebakk21/10/2021
To personer som ser på en ipad DigitaliseringGDPRHRMPersonalWebinar

Proplan HRM personalsystem gir full kontroll over bedriftens GDPR

Tor Ommund Ljosland
Tor Ommund Ljosland27/09/2021
dashboard for contracting works Contracting WorksDigitaliseringERP

Proplan inntar håndverkerbransjen!

Ole Petter Slettebakk
Ole Petter Slettebakk26/08/2021