GDPR-lovgivningen og HR’s centrale rolle

Canon Camera

GDPR-lovgivningen spiller en afgørende rolle i HR-afdelingens funktioner

GDPR-loven har som formål at beskytte EU-borgernes personoplysninger ved at fastsætte regler for, hvordan virksomheder indsamler, behandler og opbevarer disse oplysninger. Selv om GDPR-loven i 2023 fylder 5 år, var 2022 alligevel rekordår for GDPR-bøder1. Det fortæller os, at vi fortsat skal gøre en indsats for at sikre, at alle personoplysninger behandles og beskyttes korrekt.

De fleste virksomheder håndterer personoplysninger i et vist omfang, og HR-afdelinger spiller en afgørende rolle i forbindelse med overholdelse af databeskyttelseslovgivningen. De behandler personoplysninger fra det øjeblik, de modtager en ansøgning fra en potentiel medarbejder, til den dag, hvor medarbejderen ikke længere arbejder for virksomheden.

Nedenfor kan du læse vores guide til, hvordan HR-afdelinger kan sikre, at alle oplysninger forbliver compliant gennem hele deres livscyklus og samtidig også kan optimere deres processer:

1. Rekruttering

Ansættelsesprocessen udgør den første risiko - lige fra når I modtager nye ansøgninger, til når I skal slette ansøgninger, der ikke længere er relevante.

Mange virksomheder er gået over til at bruge en sikker online-formular, hvilket vi anbefaler af flere årsager. Hvis du i stedet vælger at modtage ansøgninger via e-mail og håndtere dem manuelt, er der en række risici, som du skal være opmærksom på. En almindelig fejl er, at ansøgninger ved et uheld opbevares i længere tid, end GDPR-loven tillader. Du tror måske, at det er nok at slette ansøgningen i din e-mail-indbakke, men husker du derefter også at slette ansøgningen i papirkurven? Og når ansøgningerne ikke længere er relevante, husker du så at slette dem efter den lovbestemte periode?

Samtidig er din e-mail generelt en usikker kommunikationskanal. Der er risiko for, at den kan blive udsat for et hackerangreb, som resulterer i datalækage og uautoriseret adgang, hvilket kan resultere i en overtrædelse af GDPR-lovgivningen.

Der findes mange forskellige onlineformularer, som både sikrer ansøgningerne, f.eks. ved at kryptere indholdet, og som automatisk sletter indholdet, når de ikke længere er relevante.

2. Administrering af medarbejderdata

Det er afgørende at have et velorganiseret og sikkert system til opbevaring og administration af medarbejderdata. Først og fremmest for at du altid har overblik over, hvilke data du har gemt på dine medarbejdere og for, at du kan være sikker på, at når dataene skal slettes, så har du ikke flere oplysninger liggende i f.eks. en e-mailindbakke eller en tilfældig mappe eller enhed.

Alle medarbejdere har ret til at blive informeret om, hvilke data virksomheden har gemt på dem og hvad formålet med disse er, så det er vigtigt at kunne give et konkret overblik over dette. Det gælder naturligvis også, hvis Datatilsynet skulle komme forbi til en kontrol.

3. Beskyttelse af oplysninger

Det er virksomhedens ansvar at sikre, at uvedkommende ikke kan få adgang til personlige oplysninger.

Først og fremmest er det nødvendigt at udforme en sikkerhedsprotokol, der forhindrer databrud og minimerer konsekvenserne i tilfælde af et brud på sikkerheden.

Ved at tillade og begrænse adgangen, som bl.a. kan bestemmes på baggrund af de ansattes roller, kan uautoriseret adgang forhindres. For at få adgang til oplysningerne kræves der et password, og vi anbefaler derudover altid, at I også anvender multifaktor-autentifikation på alle logins. Når dataene opbevares i virksomheden, skal de også krypteres for at gøre dem ulæselige, hvis en hacker eller en anden uautoriseret person får adgang.

Hvis din organisation ikke allerede har et SIEM-værktøj (Security Information and Event Management), anbefaler vi, at I anskaffer jer et. Værktøjet har mange funktioner, men en af kernefunktionerne er, at det overvåger og registrerer alle adgange og kan reagere, hvis der er mistanke om et databrud.

4. Sikkert print og scanning

Det er nødvendigt at forstå risiciene ved at udskrive og scanne personlige dokumenter. Det er let at glemme et dokument, der er blevet udskrevet, og måske har en kollega allerede været hurtigere end dig og ved en fejltagelse kommet til at tage dokumentet med sig. Og hvis du skal scanne et dokument, er det også nemt at komme til at glemme dokumentet i enhedens papirbakke, så det er synligt for andre.

For at optimere dokumentsikkerheden i forbindelse med jeres printer og scanner er det en god idé at anvende en Follow Me-løsning. Den fungerer således, at medarbejderen sender dokumentet til sin personlige printkø, hvorefter dokumentet frigives på printeren eller scanneren ved hjælp af sin personlige adgangskode eller sit adgangskort. På den måde kan udskrivning eller scanning kun finde sted, når medarbejderen er ved printeren - klar til at modtage dokumentet.

5. Sletning

Et af de vigtigste elementer i GDPR-loven er, at alle har ”ret til at blive glemt”. Det betyder, at når oplysningerne ikke længere bruges til det formål, som de oprindeligt blev indsamlet til, skal de slettes. Når det kommer til administrering af oplysninger i HR-afdelingen, gælder det helt tilbage til rekrutteringsforløbet frem til den dag, hvor medarbejderen ikke længere arbejder for virksomheden.

Det kan være vanskeligt og tidskrævende at håndtere denne opgave manuelt, men der findes heldigvis løsninger til dokumenthåndtering, der håndterer denne proces helt automatisk. Disse løsninger gør det muligt at fastsætte en dato for, hvornår oplysningerne automatisk skal slettes, eller at minde HR-medarbejdere om at vurdere, om oplysningerne stadig er relevante, samt om organisationen fortsat har lov til at beholde dem.

  1. Kilde: https://www.dlapiper.com/en-au/insights/publications/2023/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2023

Vil du vide mere om GDPR-compliance i HR-afdelingen?

Læs mere

Hvor sikker er vores data i skyen?

Flere og flere virksomheder går over til lagring i skyen. Men hvordan sikrer vi os, at vores data er sikker?

3 grunde til at tænke printsikkerhed ind i jeres sikkerhedsstrategi

Mange printere er i dag koblet til internettet. Der er derfor flere forskellige sikkerhedsrisici, som du skal være opmærksom på, når det kommer til printsikkerhed.

Beskyttelse af data: Fra oprettelse til sletning

Der oprettes, deles, lagres, udskrives og slettes utallige dokumenter i løbet af en arbejdsdag. Mange af dem indeholder værdifulde og følsomme oplysninger, som skal beskyttes.

Hvad er phishing og hvordan beskytter du din virksomhed mod angreb?

Hvordan opdager du et phishing-forsøg, og hvad kan du som virksomhed gøre for at beskytte din organisation i tilfælde af et phishing-angreb?

Fremtidens arbejdsplads er hybrid, og det betyder nye krav

De hurtige ændringer i arbejdsmetoder og teknologisk udvikling, der har fundet sted de seneste år, har skabt store ændringer på vores arbejdspladser

Sikker overalt: Sådan sikres data på hybride arbejdspladser

Udforsk nye datasårbarheder, værktøjer og teknologier til at øge cybersikkerhed og fair måder at opdage menneskelige fejl.

Relaterede løsninger