De 5 største feilene HR gjør i forbindelse med personvern
Mange som jobber i tradisjonelle HR stillinger synes kanskje GDPR er tungt og vanskelig å forholde seg til, og at personvernarbeid kan være utfordrende. Her har vi listet opp 5 vanlige "feil" HR ofte gjør i forbindelse med personvern og GDPR i norske bedrifter.
1.) GDPR – en «IT-oppgave»
Mange som jobber i tradisjonelle HR stillinger synes kanskje GDPR er tungt og vanskelig å forholde seg til. Da er det lett å tenke at ansvaret bør ligge andre steder i virksomheten. Jeg opplever ofte at GDPR blir sett på som en oppgave som IT avdelingen bør eie og som andre avdelinger skal gi innspill til. Dette er ikke riktig fremgangsmåte etter min mening, ettersom GDPR handler om å håndtere informasjonen til de menneskelige ressursene i organisasjonen, noe HR har hovedansvaret for å forvalte. Styret eller ledelsen i en virksomhet er de som til sist har ansvaret for at GDPR følges, men i kraft av sin rolle er det også ofte HR som har størst evne og mulighet til å gjennomføre endringer.
Jeg mener derfor at HR bør ta på seg en rolle som pådriver i dette arbeidet og at IT bør være en sterkt delaktig medspiller. IT har ofte best oversikt over systemer, systemflyt via integrasjoner, tilganger og teknisk sikkerhet, så disse har absolutt en svært viktig rolle, men prosessen får antakelig mer gjennomføringskraft hvis den eies av HR, på mandat fra toppledelsen.
2.) GDPR som «skriveøvelse»
En undersøkelse gjort av HR Norge i 2018, viser at omfanget av den nye personopplysningsloven kom som en overraskelse på mange store norske virksomheter. Det virker som at mange brukte lang tid på å innse hva denne nye lovendringen ville bety for dem i praksis, og av disse igjen var det nok mange som valgte å tolke lovverket på en litt «enkel» måte. Flere tenkte nok at det holdt med å oppdatere interne policyer og eksterne avtaler uten å gjennomgå de faktiske rutiner, prosesser og behandlinger som utføres.
I slike tilfeller kan det være dokumentasjon som ikke stemmer med virkeligheten og store deler av organisasjonen. De er kanskje ikke er klar over hvilke endringer de burde iverksatt i egen arbeidshverdag. Dersom det kun var en avgrenset prosjektgruppe involvert i endringene som følge av ny lov, og dokumentasjonen ligger gjemt i interne mappesystemer, kan det være at GDPR ikke etterleves i praksis. Jeg tror alle virksomheter har godt av å ta en runde meg seg selv og stille seg spørsmålet om føringene de kom frem til i 2018 faktisk etterleves i praksis.
Last ned gratis guide: Personvern i HR og lønn – følger du reglene?
3.) GDPR som tidsavgrenset prosjekt
Dette leder oss til det tredje punktet som er «internkontrollen». Selv om enkelte virksomheter kanskje kom seg gjennom GDPR som en skriveøvelse, er det også mange virksomheter som tok GDPR på største alvor. Flere satt av store mengder ressurser til å både kartlegge, dokumentere og gjennomføre endringer. Det er jo vel og bra, men har de samme virksomhetene klart å holde resultatene av dette arbeidet oppdatert?
GDPR er nemlig ikke ment å være et tidsavgrenset prosjekt der alt ble gjort i 2018, for så å legge all dokumentasjonen i en skuff. Det er viktig at dokumentasjonen følger endringene i virksomheten og speiler de faktiske forhold. For å ivareta dette stiller GDPR krav om internkontroll der virksomheten kontrollerer seg selv. Det er anbefalt at virksomheten gjennomgår endringer i prosesser og rutiner, samt at det hele tiden gjøres nye risikoanalyser, vurderinger og tiltak. Dokumentasjon som for eksempel policyer, behandlingsprotokoll, personvernserklæringer og databehandleravtaler må også holdes løpende oppdatert for å speile de endringer som gjøres i det øvrige personvernarbeidet.
4.) Manglende avviksregistrering
Å registrere avvik er noe jeg tror mange virksomheter har et anspent forhold til. Dette skyldes nok både frykt for at man kanskje ikke har så god kontroll som man tror, samt at avvikene kan føre til tilsyn dersom de rapporteres til Datatilsynet. Likevel er avviksregistreringen noe av den viktigste virksomheten kan gjøre for å sikre god internkontroll og for å ivareta den registrerte personens rettigheter og friheter.
Det er også slik at dersom man har kontroll på behandlingene og rutinene sine og har gode rutiner for avviksregistrering og varsling, så er det ikke noe å være bekymret for. Faktisk har datatilsynet uttrykt at virksomheter som aldri rapporterer avvik eller har lister å vise til ved et eventuelt tilsyn, gir dem større grunn til mistanke og behov for videre undersøkelser. Jeg vil derfor anmode alle virksomheter som ikke har gode rutiner eller som er redde for å føre avvik, om at de starter med dette så snart som mulig.
Last ned gratis guide: Personvern i HR og lønn – følger du reglene?
5.) Ansvarsfraskrivelse
Til slutt er det en vanlig misforståelse at mange virksomheter som kjøper tjenester og systemer innen HR og Lønn kan fraskrive seg deler av ansvaret. Det er viktig å huske på hvem som er behandlingsansvarlig og hvem som er databehandler, da disse to rollene har forskjellige krav til seg innenfor rammene av loven. Samtidig kan begge parter avkreves mer ansvar ved eventuelle avvik/databrudd enn det mange kanskje er klar over.
Selv om du behandler data på instruks fra noen andre, så fritar det ikke fra plikten til å gjøre selvstendige vurderinger for å hindre alvorlige hendelser og brudd på lovverket. Samtidig nytter det ikke å skylde på en systemleverandør dersom behandlingen man krever fra dem ikke er omfattet av databehandleravtalen og det oppstår et avvik som rapporteres inn. Behandlingsansvarlig skal sørge for at systemleverandører og tjenesteytere tilfredsstiller kravene under GDPR.
Forfatter:
Erik Swanberg, HR-konsulent og rådgiver i Customer Success teamet, SD Worx Norge
