Skip to main content

Datasikkerhet og GDPR: Slik oppnår du samsvar (og beholder det)

Vi har laget denne enkle og lettleste guiden. Den hjelper deg med å finne frem i noe av det grunnleggende om GDPR og datasikkerhet.

Introduksjon

Data er en stor del av hverdagen vår. Hver dag bruker, flytter, lagrer og absorberer vi data på forskjellige måter. I HR håndterer du mye verdifulle og konfidensiell forretningsdata, inkludert lønnsdata, resultatmålinger og strategiske planer.

I tillegg kommer all data om ansatte, tidligere ansatte, kontraktører og jobbsøkere, som kan inkludere sensitive data og informasjon, som helseopplysninger, journaler, lønnsnivåer og mye mer. Det er mye data å administrere.

Din evne til å bruke data til å identifisere nøkkelinnsikt og fortelle historier som driver handling på de riktige tingene til rett tid, er et av de mest verdifulle bidragene en strategisk HR-partner kan gi. Dette er grunnen til at HR blir pålitelige og strategiske forretningsrådgivere i organisasjoner.

Likevel kan alle disse dataene sette HR-avdelinger i en litt sårbar posisjon. Det er avgjørende for forretningsvekst og ivaretakelse av medarbeiderne. Det er også ditt ansvar å sørge for at dataene er trygge, sikre og i samsvar med lokale lover og forskrifter. Og selv om dette kan virke som IT-avdelingens problem, må hver HR-ansvarlig kjenne sitt personvernansvar.

Men frykt ikke! Vi har laget denne enkle og lettleste guiden. Den hjelper deg med å finne frem i noe av det grunnleggende om GDPR og datasikkerhet, forklarer hvorfor du må være klar over disse kravene som HR-ansvarlig, og gir tips om hvordan du kan sørge for at personalsystemet ditt (HRMS) er kompatibelt, holder personopplysningene dine trygge og gjør livet så enkelt som mulig for deg.

I denne guiden ser vi på:

  • Forskjellene mellom personvern og datasikkerhet
  • Hvorfor er databeskyttelse og sikkerhet viktig?
  • Tips om å oppnå samsvar med HR-GDPR
  • Hva du kan forvente av HR-verktøy som Sympa for å lette denne byrden.

Forskjellen mellom personvern og datasikkerhet

Data kan være et litt tørt tema, men personvern og datasikkerhet er enormt viktig. Så hva er forskjellen mellom dem? Personvern styrer måten vi behandler personopplysningene til ansatte på. Databeskyttelse fastsetter reglene for hvordan vi behandler dem, hvilke krav som stilles, og hvilke forpliktelser vi har som databehandlere og behandlingsansvarlige. Datasikkerhet bygger i utgangspunktet veggene rundt dataene og beskytter dem mot uautorisert adgang og uautorisert behandling.

Datasikkerhet er ofte bare noe som skjer i bakgrunnen. Når alt er bra, ser du det egentlig ikke. Du stoler bare på det. Men når det skjer noe galt, er det stor risiko for organisasjonens mennesker, data og omdømme.

Hvorfor er databeskyttelse og sikkerhet viktig?

I tillegg til mange andre hatter, har HR en rolle i å beskytte medarbeidernes data mot uaktsomhet og sikkerhetstrusler. Unnlatelse kan føre til store bøter for manglende samsvar med GDPR, i tillegg til at det ødelegger folks tillit til merkevaren din, som du har brukt år på å bygge opp. Det kan ta år å bygge, men bare ett minutt å ødelegge.

Skaden på omdømmet og potensielle konsekvenser kan være uopprettelig. Nyheter om bruddet kan bli omtalt i allmennheten og spres bredt. Mens en pengestraff potensielt kan håndteres, kan de negative effektene av dårlig omtale bety at forbrukere ikke lenger stoler på en organisasjon, noe som kan være fatalt for virksomheten på lang sikt. Så det er mulig å være i samsvar med GDPR og fortsatt være utsatt for datasikkerhetstrusler.

Hva er min HR-avdeling ansvarlig for?

GDPR og håndtering av data betyr at forskjellige en- heter er forpliktet til å gjøre visse ting. Og disse tingene vurderes avhengig av din rolle. Så for å hjelpe deg har vi delt opp disse rollene nedenfor:

  • Behandlingsansvarlig: Enhver som definerer formål og midler for å samle inn og behandle personopplysninger. Generelt kalles den primære organisasjonen som sam- ler inn dine personopplysninger for «behandlingsans- varlig».
  • Databehandler: Enheten som utfører ulike dataoper- asjoner (organisering, lagring, strukturering, endring, overføring osv.) på vegne av behandlingsansvarlig er kjent som «databehandleren».
  • Mottaker: Dette refererer til noen eller noe, enten in- ternt eller eksternt, som personopplysninger om regis- trerte blir utsatt for.
  • Tredjepart: Enhver annen part med myndighet til å be- handle personopplysningene med direkte tillatelse fra behandlingsansvarlig eller databehandler.

Med dette i tankene, la oss se nærmere på noen av aspek- tene organisasjoner er ansvarlige for under GDPR-loven. I følge lovverket skal organisasjoner ha systemer og sikkerhetskontroller utformet for å beskytte data og forhindre informasjonslekkasjer eller annen uautorisert bruk av data. Nå som flere mennesker jobber hjemmefra, bruker mange sine egne enheter på forskjellige nettverk. Dette gjør at risikoen er høyere en noensinne.

GDPR krever også at organisasjoner som bruker tredjeparter, for eksempel rekrutteringsbyråer eller lønnsleverandører, som behandler data om jobbkandidater eller medarbeidere, er ansvarlige for å sikre at tredjeparten er GDPR-kompatibel, og de må ha passende avtaler på plass.

Du må også kunne bevise at du har gjort tilstrekkelige undersøkelser når du velger tredjepartsleverandører og tjenester. Hvis det oppstår en datasikkerhetshendelse, må du fremlegge dokumentasjon som viser at du prøvde å bruke et produkt som er i samsvar med GDPR.

Hvis opplæring i HR-datasikkerhet bare handlet om å informere ansatte om beste praksis, så kunne IT-avdelingen lage en lysbildepresentasjon og være ferdig med det. Men til syvende og sist er datasikkerhet en trussel i stadig utvikling og krever konstant overvåking og oppdatering.

Tips om å oppnå samsvar med HR-GDPR

For at HR skal være i samsvar, er de grunnleggende funksjonene som trengs fra systemer og prosesser integrasjoner, konfigurerbare API-er og fleksibel administrasjon av brukerrettigheter. De beste HR-styringssystemene er programmer som administrerer menneskelige ressursfunksjoner: som lønn, rekruttering, goder, ut- dannelse, nærvær og ikke minst databehandling. De ha også flerlags sikkerhetsfunksjoner og kryptering for å beskytte organisasjonens data.

Mange eldre lønnseller HR-systemer er ikke bygget for å håndtere endrede krav til HR-data eller til og med dataoverføringer mellom forskjellige systemer. Mangel på allsidighet resulterer ofte i at organisasjoner og enkeltpersoner lager nye filer (for eksempel regneark) eller anskaffer flere systemer for å administrere personlig informasjon. Mangel på integrasjoner resulterer i utdaterte data flere steder. I disse tilfellene er det anstrengende, om ikke umulig, å gi en person oversikt over alle kritiske medarbeiderdata.

En annen fordel med HR-systemer er at de sentraliserer dataene for å få bedre kontroll over dem. Dette er spesielt viktig for selskaper med virksomhet i flere land. Ikke bare kan organisasjoner få en mer helhetlig oversikt over arbeidsstyrken sin, men det reduserer også samsvarsrisikoen (for ikke å nevne at det gjør HR-team mer produktive). Eldre teknologi er ikke lenger et gyldig argument i dagens verden.

Derfor trenger du beskyttelse som desgin og sikker- het som standard

HR-datasikkerhet og databeskyttelse er absolutte krav for tryggheten til HR-teamet ditt, medarbeiderne dine og bedriften din. Men når selv de minste teamene kan være spredt over hele verden, kan samsvar være en utfordring. Du kan til og med være 100 % i samsvar med GDPR og fortsatt ikke være sikker nok mot datasikkerhetstrusler.

Visste du at iht. Sophos sier 54 prosent av bedriftene at IT-avdelingene deres ikke er sofistikerte nok til å håndtere avanserte nettangrep? Eller at bare fem prosent av bedriftenes mapper er forsvarlig beskyttet i gjennomsnitt?  Så hvis formålet ditt er å beskytte dataene dine og unngå tap for bedriftens omdømme og virksomhet, har vi gode nyheter til deg. Hos Sympa er vi spesialister på innovativ og kompatibel teknologi som frigjør HR-team, slik at de kan konsentrere seg om mer målrettede, engasjerende eller strategiske oppgaver.

Når det gjelder personvern, sikkerhet, GDPR og overholdelse av lover, har Sympas ISO27001/2-sertifiserte løsning – verdens mest kjente standard for styringssystemer for informasjonssikkerhet – all beskyttelsen du trenger allerede bakt inn og beskyttes døgnet rundt av et team av sikkerhetseksperter. Vi har over 15 års erfaring med å hjelpe kunder over hele verden med å analysere forretningsprosessene deres, strømlinjeforme prosessene deres (for medarbeidere og kandidater) og hjelpe dem på reisen til forretningstransformasjon, samtidig som vi implementerer en ny teknologisk løsning. Når vi forstår dine teknologiske behov, vil vår erfaring, kunnskap og ekspertise gjøre oss i stand til å gi deg råd om den rette veien for å finne den rette teknologiløsningen for din virksomhet.

Sikre fremtidig samsvar

Sørg for at HR-funksjonen din er sikker i dag – og forblir i samsvar lokalt og globalt etter hvert som teamet ditt vokser. Sympa bruker et team med sikkerhetseksperter til å overvåke og beskytte dataene dine, og sikre at du forblir 100 % sikker, hver dag hele året.

  • Fortsett å være i samsvar med automatiske verktøy for GDPR-datafjerning.
  • Tilpassbare intervaller for GDPR-datafjerning for å være i samsvar lokalt og globalt.
  • Endre tilgangsnivåer selv når det er nødvendig.
  • Håndter systemadministrasjonsarbeid enkelt når det sk- jer organisasjonsendringer.

Se på GDPR-sjekklisten for råd om HR

Det første trinnet er da å begynne å identifisere alle stedene der data er lagret. Dette kan være lettere sagt enn gjort, og derfor har vi laget en praktisk GDPR-sjekkliste for HR med enkle spørsmål trinn for trinn. For det andre, sørg for at databehandlerne dine er i samsvar med GDPR. Begynn å spore opp leverandørene dine og innled samtaler om det nye regelverket. Sørg for at de er ISO-sertifisert, siden det er en indikasjon på at de er forberedt.

Se på GDPR-Sjekklisten for råd om HR

Denne sjekklisten vil hjelpe deg med å danne en oversikt over hvilke systemer du lagrer hvilke data i, samt finne ut om din organisasjons retningslinjer for datalagring er i samsvar med EU-lovgivningen om datasikkerhet.

NO-Magazine-Mockup