Personvern – det kan bli dyrt å slurve

I en arbeidshverdag der stadig mer informasjon lagres digitalt, er det avgjørende at bedrifter har kontroll på hvem som har tilgang til hvilke personopplysninger.

–  Du skal bare vite det du trenger for å gjøre jobben din. Har du ikke et tjenstlig behov for opplysningene, skal du heller ikke ha tilgang til dem, sier Sølvi Hansen, rådgiver innen HR/HMS/KS i Proresult.

Personvern handler ikke bare om regler og paragrafer, men om tillit, ansvar og respekt for den enkeltes privatliv.

Tjenstlig behov er nøkkelordet

Personopplysninger som lagres i en personalmappe kan være alt fra kontaktinformasjon og arbeidsavtaler til helseopplysninger og advarsler. Ifølge personvernregelverket (GDPR) må all behandling av personopplysninger ha et gyldig behandlingsgrunnlag.

–  Arbeidsoppgavene dine avgjør hvilken informasjon du trenger. Å lagre eller oppbevare personopplysninger uten et nødvendig formål, er som hovedregel et brudd på GDPR, sier Sølvi.

Dette gjelder også interne systemer: Det er ikke tilstrekkelig å tenke at «alle ansatte er til å stole på». Tilgang skal styres etter rolle, ikke tillit alene.

Dyrt å slurve

En vanlig feil er å lagre informasjon der for mange har tilgang.

–  Vi ser at mange lagrer sensitiv informasjon ukryptert, eller på områder der flere enn nødvendig har tilgang. Folk glemmer at ikke alle lagringsområder i et system er sikre, forklarer hun.

Det kan innebære både juridisk og menneskelig risiko.

–  De som blir tatt for GDPR-brudd, kan få svært høye bøter. Samtidig er dette noe som i mange tilfeller er relativt enkelt å gjøre riktig, med gode rutiner og riktige systemer. Det handler også om hvordan du ivaretar privatlivet til de ansatte.

Bøtene for personvernbrudd kan fort bli på hundretusener, og i enkelte tilfeller millionbeløp.

Klikk her for å se hvilke bøter Datatilsynet har delt ut for personvernbrudd. (ekstern lenke)

Ledelsens ansvar

Det overordnede ansvaret for personvern ligger hos ledelsen. De har ansvar for at virksomheten følger regelverket, og legger til rette for at det er enkelt å gjøre riktig i praksis.

–  Ledelsen må sørge for klare rutiner og systemer som gjør det lett å overholde regelverket i praksis, sier Sølvi.

Flere administratorbrukere enn nødvendig øker også risikoen, både for feil og hacking.

Hva skjer når ansatte slutter?

Når et arbeidsforhold avsluttes, oppstår ofte usikkerhet rundt hvor lenge personopplysninger skal lagres.

– Det kan være greit å beholde enkelte opplysninger en periode etter at en ansatt har sluttet, men når det ikke lenger er behov for informasjonen, skal den slettes, sier Sølvi.

Hun meiner at praksisen rundt dette bør være en del av bedriftens rutiner.

– Den ansatte har også rett til å vite om arbeidsgiver fortsatt lagrer informasjon om dem, forklarer hun.

Hva bør minimum være på plass?

Ifølge Sølvi er det to ting alle bedrifter bør ha på plass:

– Trygg lagring og begrenset tilgang. Har du dette i orden, ligger du godt an.

I tillegg bør virksomheter ha tydelige rutiner for hvordan personopplysninger oppbevares, brukes og slettes.

Det viktigste er å være bevisst

– God personvernpraksis handler ikke om å gjøre mest, men om å gjøre det riktig, sier Sølvi.

Det viktigste å huske er å være bevisst på hvem som har tilgang på hva. Med gode rutiner og systemer er dette enkelt å få på plass.

Proresult sin HR-modul er utviklet med personvern i fokus. Løsningen tilbyr kryptering, tofaktorinnlogging og tydelig tilgangsstyring. Den ansatte har selv tilgang til sin egen personalmappe via appen, og systemet logger hvem som har hatt tilgang til hva.

– Det som skal slettes, blir slettet permanent. Det skaper trygghet både for arbeidsgiver og for arbeidstaker, sier Sølvi.