facebook_pixel

Alle må forberede seg på nye personvernregler

Norske virksomheter behandler store mengder informasjon om tidligere og nåværende ansatte, jobbsøkere og kunder. Neste år kommer nye EU-regler, og veldig få er godt forberedt.

Som arbeidsgiver behandler du mye informasjon om jobbsøkere, nåværende og tidligere ansatte og kanskje også om eksisterende og potensielle kunder.

Personalia, informasjon om pårørende, sykefravær, advarsler, ferier, informasjon om lønn- og bonuser, arbeidsavtaler, informasjon fra adgangssystemer og videoovervåkning, osv. Listen kan bli svært lang for mange virksomheter.

Les også: GPS og elektronisk kjørebok i jobben: Du overvåkes, enten du vil eller ikke!

Ikke helt klart

Neste år blir et allerede strengt regelverk enda strengere gjennom en ny forordning fra EU, gjerne omtalt som GDPR (General Data Protection Regulation). Etter alt å dømme trer det nye EU-regelverket i kraft i mai 2018, som er fristen EU har satt for å implementere forordningen.

Justisdepartementet opplyser til Infotjenester at de jobber med et høringsnotat som de planlegger å legge frem til sommeren. Forslag til en norsk lovtekst blir sannsynligvis lagt frem for Stortinget mot slutten av 2017 eller tidlig i 2018.

– Siden dette er en forordning må den bli implementert i sin helhet i norsk regelverk. Det er åpnet for å gjøre nasjonale tilpasninger, men hvilke tilpasninger det legges opp til blir først kjent når høringsdokumentet legges frem, sier Infotjenesters IT-direktør Flemming Ottosen.

Les også: Overvåking av ansatte må være «nødvendig»

Liten kunnskap

Endringene vil berøre alle virksomheter som behandler personopplysninger; som i praksis vil si alle virksomheter med ansatte.

Likevel viser flere undersøkelser at kunnskapsnivået er lavt. En undersøkelse Deloitte har gjort blant norske arbeidsgivere, viser at bare én av fire selskaper godt forberedt, skriver E24.

Datatilsynet viser til en annen undersøkelse, hvor bare to prosent av de spurte lederne sier de har satt seg inn i den nye loven, skriver Dagens Næringsliv.

Mange ønsker opplæring

Infotjenester arrangerer kurs i de nye personvernreglene, og opplever stor pågang fra virksomheter som trenger opplæring.

Advokat Eva Jarbekk, som holder kursene, sier hennes inntrykk er at de mindre selskapene og de som ikke tenker på at de behandler personopplysninger nå kommer på banen.

– Mitt inntrykk er at mange store virksomheter har jobbet med dette lenge og er godt forberedt. Vi ser imidlertid at selskaper som egentlig ikke driver med personopplysninger nå også fatter interesse for regelendringene. Mange har frem til nå ikke tenkt på at de behandler personopplysninger, for eksempel gjennom adgangskontrollsystemer og HR-systemer. De undersøkelsene som viser til lavt kunnskapsnivå gjenspeiler nok mange av disse, sier Jarbekk.

Ikke god tid

Selv om regelendringene er mer enn et år unna, er det ikke godt tid. Den erfarne personvernadvokaten sier de fleste virksomheter vil trenge denne tiden, litt avhengig av hvor mye personopplysninger de behandler.

– Jeg sier ikke at du skal jobbe med disse tingene sammenhengende i et år, men det er en del undersøkelser som må gjøres som tar litt tid. For eksempel må du begynne med å kartlegge hvilke opplysninger virksomheten har og i hvilke datasystemer de er lagret. Du må vite hvor og hvor lenge de oppbevares. Du må også vite i hvilke land servicepersonell kan få tilgang til disse opplysningene fra når de skal yte tjenester. Hvis leverandøren av et system for eksempel har satt ut servicefunksjonen til India, så kan dine data være i India, og det skal du vite. Her er det åpnet for svært store bøter, så her skal man ikke trå feil. Når du har oversikt over dine data må du se på hvilket gap det er i henhold til det regelverket som kommer, og da går plutselig et år fort, sier Eva Jarbekk.

Les også: Sjefen kan lese e-posten din

Viktig å være trygg på HR-systemet

Hvem haster det mest for?

– Det haster mest for de som har sensitive personopplysninger, som i laveste terskel er helseopplysninger. Det betyr igjen at alle som har ansatte må sørge for å få behandlingen av ansattopplysningene sine på stell. Har man i tillegg sensitive personopplysninger om kunder, så haster det kanskje enda mer, sier Jarbekk.

Som leverandør av HRM-system er Infotjenester blant aktørene som følger regelverket og denne regelendringen svært tett.

Som kunde av våre HRM-løsninger kan du være helt trygg på at våre systemer vil oppfylle kravene i forslaget til ny personvernforordning, sier IT-direktør Flemming Ottosen.

I dette blogginnlegget skriver Ottosen mer om hva du bør tenke på rundt lagring av HR-data.

Har du behov for mer kunnskap? Meld deg på vårt nyhetsseminar og delta fra din egen PC, nettbrett eller mobil.

 

Gratis sjekkliste: EUs nye personvernregler 2018

 

Del dette med dine kolleger eller venner: