Vad GDPR är – tips som hjälper HR få ett försprång

Som vi skrivit tidigare kommer EU:s nya dataskyddförordning, General Data Protection Regulation (GDPR), att träda i kraft den 25 maj 2018. Tanken med reformen är att förstärka individers dataskydd i alla medlemsstater och att göra lagstiftningen kring dataskydd enhetlig. GDPR kommer därmed att gynna oss alla.

Hur som helst, för att garantera kompatibilitet med den nya dataskyddslagen har de flesta organisationer en hel del arbete framför sig. Att försumma förberedelserna är inte att rekommendera, och sanktionsavgifterna för att bryta mot de nya regleringarna kan vara lamslående, speciellt för mindre organisationer.

Även utan hotet av de tunga sanktionsavgifterna är GDPR är en värdefull satsning: den nya förordningen belönar organisationer som lagrar uppdaterad HR-data tillgängliga för rätt personer vid rätt tidpunkt, allt i ett och samma system.

GDPR från individens perspektiv

Kort och gott innebär GDPR att varje individ (t.ex. medarbetare, partners och kunder) ska ha tillgång till data som lagrats om personen ifråga i ett lätthanterligt format. De har också rätt att kräva att den lagrade informationen raderas permanent, likaså kan de kräva att allt flyttas över till ett annat system. Ifall systemet som lagrar data utsätts för säkerhetsbrott eller dataintrång, har individen även rättigheten att bli informerad om detta.

Att säkerställa kompatibilitet med GDPR handlar om att säkerställa integriteten och tillgängligheten hos de system du lagrar HR-data i. Varje organisation borde försäkra sig om att personliga data lagras i ett system som ostört talar med andra system, att informationen alltid är uppdaterad, att endast de rätta personerna har tillgång till data, samt att det alltid finns beredskap för att vid behov kunna exportera data i ett förståeligt format.

I ärlighetens namn är de flesta payroll eller HR-system inte byggda för att hantera det förändrade behovet av HR-data eller ens för dataöverföringar mellan system. Bristen på mångsidiga system leder ofta till att organisationer eller individer skapar filer (t.ex. kalkylblad i Excel) eller tar i bruk flera olika system för att hantera persondata. Att lagra data i olika system som inte talar med varandra resulterar troligtvis i föråldrad data på flera håll. Om detta är utgångspunkten blir det ofta väldigt arbetsdrygt, om inte omöjligt, att kunna förse en individ med en fullständig redogörelse över persondata som lagras hos organisationen.

GDPR från organisationens perspektiv

I grund och botten delar GDPR upp ansvaret för datasäkerhet mellan den som hanterar data, oftast då HR, och tjänsteleverantören, som t.ex. levererar ett IT-system. Organisationer har ett ansvar att se över valet av leverantörer som är kompatibla och förse dem med dokumenterade instruktioner om hur data ska hanteras.

Tjänsteleverantören o sin sida måste garantera att data hålls krypterat och skyddat såväl vid lagring som vid överföring, att alla aktiviteter som gäller processering av data bokförs, samt tillsätta ett dataskyddsombud, som övervakar att dataskyddslagen följs. Listan över kraven för tjänsteleverantörer är lång, och många kämpar för att klara av de strikta säkerhetsreglerna och -åtgärderna.

Vad borde HR göra härnäst?

I mitt tidigare blogginlägg lyfter jag fram positiva aspekter av GDPR: organisationer tvingas se över hur de lagrar och överför data mellan åtskilliga system. Detta är en uppskattad förändring som förhoppningsvis resulterar i att persondata lagras i ett mindre antal system med högre säkerhetsgrad. Utöver förbättrad säkerhet innebär förändringen sannolikt mindre administrativt arbete för HR.

Använd vår checklista för HR för att komma igång

Första steget på vägen är att identifiera alla de ställen där era data lagras. Det är lättare sagt än gjort, och därför har vi skapat en behändig GDPR-checklista för HR med enkla frågor som hjälper dig komma igång.

Nästa steg är att försäkra dig om att era tjänsteleverantörer är GDPR-kompatibla. Börja med att kartlägga alla tjänsteleverantörer ni samarbetar med och diskutera den nya dataskyddslagen med dem. Ifall leverantören är ISO-certifierad är det ett tecken på att de är förberedda inför förändringarna.

Sist och slutligen gäller det att se över principerna för hur data hanteras inom er organisation. Jag rekommenderar varmt vår checklista även för detta ändamål.

Detta är det andra inlägget i vår GDPR-bloggserie om den kommande dataskyddsförordningen. Du kan läsa alla våra inlägg i serien här.