fbpx

GDPR og dine medarbejdere: Hold det enkelt – eller fald igennem

Zispa GDPR Persondataforordning

GDPR og dine medarbejdere: Hold det enkelt – eller fald igennem

851 315 Zispa IT-teknologi, samarbejde og vidensdeling for virksomheder

GDPR og dine medarbejdere: Hold det enkelt – eller fald igennem

Hvis du googler ’hvad er GDPR’, så får du 98.800 resultater. Men hvis du først gør det nu, så er det ved at være ALLERSIDSTE udkald til at få gjort noget ved det. Den nye – og bindende EU-lov: General Data Protection Regulation, som træder i kraft 25. maj kan få vidtrækkende konsekvenser for de virksomheder og organisationer, som IKKE har styr på processer og håndtering af personfølsom data i forhold til dine medarbejdere og private kunder.

Så er du klar – eller (stadig) lidt usikker på, om du nu også har husket det hele?

Zispas anbefalinger omkring arbejdsprocesser og håndtering af persondata

Hos Zispa hjælper vi vores kunder med netop at håndtere og styre forskellige data og processer. Og netop en forespørgsel fra en af vores kunder omkring håndtering af persondata og GDPR, er resultatet af nedenstående gode råd og tips fra Vinni Lyhne Bjerg.

Vinni er Zispas løsningsarkitekt og specialist i EUs persondataforordningen.

Kontakt Zispa på tlf. 7613 1445

Hold det enkelt. Gør GDPR simpelt

– Der er sådan set ikke det store nye i behandlingen og beskyttelsen af personfølsomme data. Virksomheder og organisationer i Danmark har generelt bare ikke helt overholdt persondataloven. Det, der er det særlige med denne EU-persondataforordning er, at du som virksomhed har pligt til at beskrive processerne (dvs. arbejdsgange og behandlingen af personfølsomme data). Og her gælder det, at jo mere detaljeret du beskriver processerne, jo mere er der at falde igennem med. Så hold det enkelt. Det behøver ikke være komplekst, fordi persondataforordningen er det, siger Vinni Lyhne Bjerg.

Hvad er ‘personfølsomme data’?

I forhold til persondataforordningen, så kan du dele personfølsomme data ud på 4 kategorier:

Kilde: GDPR §§ 6-7

– Det du skal overveje i forhold til kategori 1 til 3 er: Hvad er sandsynligheden for eventuel læk eller tab af disse data? Hvad er konsekvensen – og hvilken forebyggende/kompenserende indsats (beredskabsplan) skal sættes i værk? Og hvad er udgifterne hertil? Du kan også spørge:

  • Hvordan kan du/I reducere risiko for læk og tab?
  • Hvordan reducerer du/I skaden, når (hvis?) den opstår?

– Bemærk at det er tilladt at undlade at øge sikkerheden omkring noget data, hvis udgiften ikke står i mål med udgiften for dette, oplyser Vinni Bjerg Lyhne.

Hvordan er det nu med opbevaring af ‘persondata’?

– I princippet må du gemme alt med personens – fx kunden eller medarbejderens – samtykke. Der er dog visse ting, du i den forbindelse skal sikre dig, siger Vinni Lyhne Bjerg:

1. Du skal sikre dig, at du har backup af de personfølsomme data, så du kan rekonstruere ved evt. tab.

2. Du skal sikre dig, at du har et godt og altid opdateret anti-virus system (evt. firewall), som beskytter mod angreb og dermed læk af personfølsomme data.

3. Du skal på forespørgsel fra en person/kunde, kunne udlevere de personfølsomme data i krypteret tilstand.

– I praksis betyder det, at det skal være nemt at søge i dine elektroniske og manuelle arkiver efter disse oplysninger og så skal de kunne afleveres i krypteret tilstand. Samtidig kan personen bede om, at du sletter ALLE følsomme oplysninger om dem, som du ikke har lovgivningens mandat til at opbevare.

Gode tips i forhold til medarbejdere og personlig data

– Personlig data skal kunne henledes til en bestemt person. Hvis fx MUS-samtaler registreres på lønnummer og ikke navn, og sammenhængen mellem lønnummer og navn kun findes i ERP / lønsystemet, så ville en it-kriminel skulle bryde ind i to systemer for at finde sammenhængen. Sandsynligheden for den risiko er overvejende lille. Derfor kan du argumentere for ikke at øge sikkerheden omkring MUS-dokumenter.

– I forhold til vores kunder, så bliver vi ofte spurgt til håndteringen af persondata i forhold til medarbejdere. Her er nogle gode tips:

1. Når du modtager ansøgninger.

Genvejen: Skriv tilbage, at du beholder dem i x antalt måneder, og hvis ikke ansøgeren skriver tilbage, at de ikke ønsker det, må man antage at det er en stiltiende accept

Den sikre vej: Bed mulige ansøgere om at holde sig orienteret om jobopslag og løbende søge opslåede stillinger. Kravet til dig er, at du så også sletter jobopslagene efter x antal måneder.

2. Medarbejderens ansættelseskontrakt.

Kontrakten er det samme som samtykke til, at du opbevarer alt, hvad der er relevant i forhold til løn. Du kan i din personalepolitik skrive, at tingene opbevares x antal år efter endt ansættelse, hvorefter de destrueres. – Og så også huske at gøre det efterfølgende.

3. MUS og APV-målinger.

I stedet for at anvende medarbejdernes navne, så brug lønnummer. På den måde kan du undgå personificering (udpegning af specifik medarbejder), da det kræver adgang til et andet system, for at lave sammenkoblingen. Og det gør det mere besværligt for en eventuel hacker.

4. Billeder af dine medarbejdere

Viser du medarbejdernes billeder på fx hjemmesider, så skal du lige sikre et samtykke eller i hvert fald en personalepolitik på det.

– I forhold til eksisterende medarbejdere kan mange oplysninger klares med tillæg til personalehåndbogen – i hvert fald så længe, at det ikke er kritiske oplysninger. Vi anbefaler, at man ved kritiske personfølsomme oplysninger indhenter særskilt samtykkeerklæringer på det, der ikke er angivet ved lovgivning, overenskomst eller ansættelseskontrakt. Bemærk dog at medarbejdere kan nægte, at du opbevarer personlig data, der ikke er angivet ved lov, overenskomst eller ansættelseskontrakt og det skal du efterkomme og kan ikke nægte nogen ansættelse / opsige nogen på den baggrund.

Beskriv processer/arbejdsgange – simpelt

– Generelt skal du have et (nemt tilgængeligt) sted, som beskriver:

  1. Hvordan du behandler de forskellige personfølsomme oplysninger (arbejdsgangene)
  2. Hvad er formålet med opbevaringen af oplysningerne
  3. Hvem der arbejder med de personfølsomme oplysninger (se kategori 1-3 ovenfor)
  4. Hvordan de personfølsomme oplysninger sikres mod tab og udefrakommende indtrængen adgang samt hvorledes de kan genskabes.
  5. Hvornår de personfølsomme oplysninger bliver slettet

– Du kan beskrive/forklare det helt simpelt i et regneark eller et Word-dokument, som du løbende vedligeholder. Så længe at du blot husker, at jo mindre der er skrevet, jo mindre kan du falde igennem på, understreger Vinni Lyhne Bjerg.

Er du i tvivl, om du er dækket (godt nok) ind i forhold arbejdsgange og databehandlingen?

Vi hjælper dig med at afdække, hvad der skal til i forhold til håndtering af data. Kontakt os i dag på tlf. 7613 1445.

Øvrige links