Skip to main content

Uppnå och bibehåll GDPR-efterlevnad

En enkel guide för HR som ger tips och råd över vilka områden som är viktiga att hålla koll på.

Introduktion

Data utgör en stor del av våra liv. Varje dag använder, flyttar, lagrar och reagerar vi på data på olika sätt. Inom HR hanterar du mycket viktiga och konfidentiella data, inklusive löner, verksamhetsresultat och strategiska planer.

Vidare har vi alla data om nuvarande och tidigare anställda, konsulter och jobbsökande, vilket kan inkludera känsliga uppgifter som hälsouppgifter, patientjournaler, lönenivåer och mycket annat. Det är stora mängder data som behöver hanteras.

Er förmåga att använda data för att identifiera viktiga in- sikter och skapa berättelser som främjar åtgärder på rätt områden vid rätt tillfälle är ett av de viktigaste bidragen från en strategisk HR-partner. Det är därför HR blir en pålitlig och strategisk affärsrådgivare i organisationerna.

Samtidigt kan alla dessa data göra att HR-avdelningarna hamnar i ett sårbart läge – de är av avgörande betydelse för tillväxt och för att kunna ta väl hand om de anställda. Det är också ert ansvar att säkerställa att data är säkra och i säkert förvar samt att de efterlever lokala lagar och föreskrifter. Även om detta kan tyckas vara IT-avdelnin- gens problem måste alla inom HR känna till sitt ansvar gällande datasekretess.

Men du behöver inte oroa dig. Vi har tagit fram en enkel och lättläst guide som hjälper er med grunderna i GDPR och datasäkerhet och som förklarar varför HR måste känna till dessa krav, samt ger tips på hur ni ser till att ert HR-system uppfyller kraven, håller era persondata säkra och gör arbetet så enkelt som möjligt för er.

I den här guiden går vi igenom:
  • Skillnaderna mellan datasekretess och datasäkerhet
  • Varför är dataskydd och datasäkerhet viktigt?
  • Tips på hur HR kan uppnå efterlevnad av GDPR
  • Vad ni kan förvänta er av HR-verktyg som Sympa för att avhjälpa dessa problem.

Skillnaderna mellan datasekretess och data- säkerhet

Data kan vara ett lite småtråkigt ämne, men datasekret- ess och datasäkerhet är extremt viktigt. Så vad är skill- naderna mellan de två?

Datasekretess handlar om hur vi bearbetar anställdas personuppgifter. Dataskydd fastställer regler för hur vi bearbetar dem, vilka krav som gäller och vilka skyldigheter vi har som personuppgiftsbiträden och personuppgiftsansvariga. Datasäkerhet bygger i princip väggar runt data och skyddar dem från obehörig åtkomst och hantering.

Datasäkerhet är ofta något som sker i bakgrunden. När allt fungerar som det ska är det något man inte ser utan bara litar på, men när något inträffar utsätts organisa- tionens anställda, data och rykte för stora risker.

Varför är dataskydd och datasäkerhet viktigt?

Utöver sina många andra roller har HR ansvaret för att skydda anställdas personuppgifter mot försumlighet och säkerhetshot. Underlåtenhet att göra detta kan leda till dryga böter för bristande efterlevnad av GDPR, men det kan även innebära att tilliten till ert varumärke tar skada: det som ni har jobbat hårt i flera år för att bygga upp kan raseras på bara några minuter.

Ett dataintrång kan leda till skador på anseendet och andra effekter som kanske inte går att reparera. Nyheter om intrånget kan publiceras i media och få allmän spridning. Monetära straff går förmodligen att hantera, men effekterna av negativ publicitet kan leda till att konsumenter inte längre litar på organisationen, vilket kan bli ödesdigert på lång sikt.

Det är möjligt att efterleva GDPR och ändå vara utsatt för riskerna med datasäkerhetshot.

Vilket ansvar har HR?

GDPR och hantering av data innebär att olika enheter måste vidta vissa åtgärder. Dessa åtgärder varierar beroende på er roll. För att hjälpa er förklarar vi de olika rollerna nedan:

  • Personuppgiftsansvarig: Alla som definierar sy- ftet och metoderna för att samla in och hantera per- sonuppgifter. Generellt sett räknas den huvudsakliga organisationen som samlar in personuppgifter som ”personuppgiftsansvarig”.
  • Personuppgiftsbiträde: Den enhet som utför olika datahanteringstjänster (organisering, la-gring, strukturering, redigering, överföring osv.) för personuppgiftsansvarigs räkning kallas för ”personuppgiftsbiträde”.
  • Mottagare: Detta avser någon eller något, internt eller extern, som registrerade personers personuppgifter utlämnas till.
  • Tredje part: Alla övriga parter med behörighet att hantera personuppgifterna enligt personuppgiftsans- varigs eller personuppgiftsbiträdets direkta tillstånd.

Med detta i åtanke ska vi nu ta en närmare titt på vissa av de aspekter som organisationer är ansvariga för enligt dataskyddsförordningen (GDPR). Enligt lagstift- ningen måste organisationer ha system och säkerhets- kontroller utformade för att skydda data och förhindra informationsläckor och annan obehörig användning av data. I takt med att antalet människor som jobbar hemifrån har ökat, och där många använder sina egna enheter på olika nätverk, har risken aldrig varit högre.

Enligt GDRP måste organisationer som anlitar tredje part, t.ex. rekryteringsföretag eller löneadministrationsföretag som hanterar jobbsökares eller anställdas data, säker- ställa att sådana tredje parter också efterlever GDPR och de måste inrätta lämpliga avtal.

Ni måste också kunna bevisa att ni har utövat tillbörlig aktsamhet i samband med valet av tredje parts lever- antörer och tjänster. Om en datasäkerhetsincident in- träffar måste ni kunna framlägga dokument som visar att ni har försökt använda en produkt som efterlever GDPR.

Om säkerhetsutbildning gällande HR-data bara handla- de om att informera anställda om best practice så skulle det räcka med att IT-avdelningen skapade en Power- Point-presentation, men datasäkerhet är ett område som ständigt står inför nya hot som kräver konstant över- vakning och uppdatering.

Tips på hur HR kan uppnå GDPR-efterlevnad

För att HR ska efterleva GDPR måste systemen och processerna ha grundläggande funktioner som con- nectivity, konfigurerbara API:er och flexibel hantering av användarrättigheter. HR använder system som han- terar viktiga delar som löneutbetalning, rekrytering, förmåner, utbildning, närvaro och, kanske viktigast av allt, datahantering. Dessa system har också säkerhets- funktioner och kryptering i flera lager för att skydda organisationernas data.

Många äldre löneutbetalnings- och HR-system är inte byggda för att hantera föränderliga behov av HR-data eller ens dataöverföring mellan olika system. Bristande flexibilitet leder ofta till att organisationer och enskilda anställda skapar nya filer (t.ex. kalkylblad) eller inför- skaffar flera system för att hantera personuppgifter. Bristande integration leder till att inaktuella uppgifter finns på flera platser i organisationen. I dessa fall blir det svårt, eller kanske till och med omöjligt, att göra en sammanställning av alla kritiska persondata.

En annan fördel med de bästa HR-systemen är att de centraliserar data, vilket ger bättre kontroll. Detta är viktigt i synnerhet för multinationella företag. Det gör att organisationer får en mer omfattande översikt över arbetsstyrkan samtidigt som det minskar efterlevnads- riskerna (plus att det gör HR-teamen mer produktiva).

Det är inte längre hållbart att använda föråldrad teknik.

Därför behöver ni ett särskilt utformat skydd med säkerhet som standard.

GDPR för HR och dataskydd går inte att förhandla bort. Men när även de minsta teamen kan vara spridda över hela världen kan efterlevnad framstå som ett mål som är minst sagt svårt att uppnå. Ni kan till och med efterleva GDPR till fullo och ändå inte ha tillräckligt skydd mot cybersäkerhetshot.

Enligt Sophos menar 54 procent av företagen att att deras IT-avdelningar inte är tillräckligt sofistikerade för att kun- na hantera avancerade cyberattacker. Och i genomsnitt har endast fem procent av företagens datamappar tillräckligt skydd

Så om ni har för avsikt att skydda era data och undvika att företagets verksamhet och rykte tar skada har vi goda nyheter.

Sympa är specialister på innovativ och kompatibel teknik som gör att HR-team kan fokusera på mer riktade, intressanta eller strategiska arbetsuppgifter.

När det gäller integritet, säkerhet, GDPR och efterlevnad av lagstiftning har Sympas ISO27001/2-certifierade lösning – världens mest kända standard för förvaltningssystem för informationssäkerhet – redan integrerat allt skydd ni behöver och systemet hålls skyddat dygnet runt av ett team av säkerhetsexperter.

Vi har nästan 20 års erfarenhet av att hjälpa kunder runt om i världen att analysera sina affärsprocesser, förenk- la processer för medarbetare och jobbsökare och transformera verksamheten samtidigt som man integrerar en ny teknisk lösning.

När vi har fått klarhet i vilka era tekniska behov är kan vi tack vare vår erfarenhet, kunskap och expertis ge er de råd ni behöver för att påbörja jobbet med att hitta den rätta tekniska lösningen för er verksamhet.

Säkerställ framtida efterlevnad

Se till att HR-funktionen är säker idag och bibehåller efterlevnaden lokalt och globalt när verksamheten växer. Sympa använder ett team av säkerhetsexperter för att övervaka och skydda era data, vilket säkerställer att ni förblir 100 % skyddade, dygnet runt, året runt..

  • Uppfyll alla krav i GDPR med automatiska databorttagningsverktyg.
  • Anpassningsbara intervall för databorttagning för att uppfylla kraven för lokal och global efterlevnad.
  • Ändra åtkomstnivåer själv när det behövs.
  • Hantera systemadministrationsarbete enkelt när organisationsförändringar inträffar.

Ta hjälp av vår GDPR-checklista för HR

Det första steget är att identifiera alla platser där data lagras. Detta kan vara lättare sagt än gjort och det är därför vi har skapat en smidig GDPR-checklista för HR med enkla steg för steg-frågor.

Därefter måste ni säkerställa att era personuppgifts- biträden efterlever kraven i GDPR. Börja med att ta reda på vilka era leverantörer är, kontakta dem och prata om före- skrifterna. Kontrollera att de har ISO-certifiering – detta är en bra indikation om att de är förberedda.

Ta hjälp av vår GDPR-checklista

Ta reda på om din organisation uppfyller kraven för GDPR. Börja med att identifiera alla platser där data lagras med hjälp av vår enkla GDPR-checklista för HR som innehåller enkla steg-för-steg-frågor.

SE-Magazine-Mockup