De som har tatt imot GDPR med åpne armer vil trolig komme bedre ut, med bedre databaserte forretningsbeslutninger, enn de som har stått imot den ett år gamle forordningen.
EUs personvernforordning, også kjent som GDPR (General Data Protection Regulation), trådte i kraft i mai 2018, og med den fulgte usikkerhet, paniske forberedelser og dette spørsmålet som alle fryktet: Er dere i samsvar med GDPR? Belastningen var størst for alle som jobbet innen HR, der de kjempet for å samkjøre data og praksis, ofte under sterkt press og innen korte tidsbegrensninger.
Har reguleringen endret måten vi tilnærmer oss arbeidet og dagliglivet på ett år senere? Med unntak av nettsteder som lar deg velge innstillinger for informasjonskapsler, er det ikke så mye som virker å være annerledes. Jeg har til og med hørt HR-ledere i selskaper si at «GDPR er gammelt nytt, ingenting er endret. De fleste har glemt det, og ingen vet hva det egentlig vil si å være i samsvar med GDPR. Vi trenger ikke å bekymre oss for det.»
I oppstartsfasen var det mange som fryktet at livet etter GDPR ville være preget av sviende bøter til både store og små selskaper. Selskaper overholdt bare reglene fordi de ble tvunget, og de innså kanskje ikke fordelene de faktisk oppnådde.
Det som folk flest kanskje ikke tenker på, er at GDPR handler om mer enn å beskytte selskaper mot dårlig publisitet og store bøter. GDPR har hjulpet HR-avdelinger og selskaper, enten direkte eller indirekte, med å bli mer effektive og proaktive i forretningspraksisen.
Jeg har til og med hørt HR-ledere i selskaper si at «GDPR er gammelt nytt, ingenting er endret." Det de fleste ikke er klar over er at GDPR har hjulpet HR mer enn de innser.
Essensen av GDPR
GDPR handler først og fremst om å holde lagret data oppdatert og tilgjengelig for eierne og alle som på lovlig vis kan få tilgang til dem, samt holde dem skjult fra alle andre. Enhver person i EU har tydelige og rimelige rettigheter. De har rett til å få tilgang til sine egne data, rett til å korrigere dem og rett til å fjerne dem.
Var alt oppstyret verdt det?
Som i de fleste statlige organisasjoner og overvåkningsavdelinger, tar prosesser og beslutninger lang tid. Det har bare blitt offentliggjort noen få saker der store selskaper har blitt bøtelagt, blant annet British Airways og hotellgruppen Marriott.
I motsetning til andre europeiske land har de nordiske landene knapt sett noen bøter. Saken som kanskje skiller seg ut i Norden, kommer fra Danmark. Der gjennomførte GDPR-myndighetene et tilsynsbesøk i et dansk møbelselskap og ga selskapet en bot på 1,5 millioner danske kroner fordi de hadde unnlatt å slette data om 385 000 kunder.
GDPR fastslår at personopplysninger må lagres på en slik måte at enkeltpersoner ikke kan identifiseres i en lengre periode enn det som er nødvendig for formålene som personopplysningene behandles for.
Fordi det ikke ble angitt når personopplysningene ikke lenger var nødvendige for behandlingsformål, slettet ikke selskapet informasjonen, og de brøt dermed GDPR-forordningen.
Det å være passiv når det gjelder lagring og bruk av data, betyr ikke bare at du bryter GDPR-forordningen, men du går også glipp av potensielt store forretningsfordeler. Før GDPR var det bare de som virkelig forsto verdien av data, som var ‘vinnerne’. Nå har forordningen utilsiktet fått den virkningen at alle har blitt mer like, siden den tvinger virksomheter til å se nærmere på dataene de lagrer.
Bedre data betyr bedre forretningsavgjørelser
Det kan gi store fordeler å tenke nytt angående personopplysninger, siden ‘GDPR-måten’ å behandle data på kan hjelpe virksomheten på flere måter.
Tidligere var HR-avdelingens viktigste ansvarsområder mer administrative oppgaver samt å holde de ansatte motivert. I dag, når nye regelverk som GDPR kommer inn og påvirker hele virksomheten, er HR i økende grad i ferd med å bli en strategisk ressurs som muliggjør mer effektive prosesser og bidrar til samlet konkurranseevne, prestasjoner og lønnsomhet i organisasjonen.
Fordelene med oppdaterte data
Det å ha oppdaterte personopplysninger betyr ikke bare at man er i samsvar med GDPR. Det betyr også at man får bedre data for å ta bedre forretningsavgjørelser. De fleste lønns- eller HR-systemene er strengt tatt ikke laget for å håndtere de stadig endrede kravene til personopplysninger eller dataoverføringer mellom de ulike systemene som selskapene bruker.
Manglende fleksibilitet fører ofte til at organisasjoner og enkeltpersoner oppretter nye filer (for eksempel regneark) eller skaffer flere systemer for håndtering av personopplysninger. Uten integrasjons- og tilkoblingsmuligheter ender man da opp med store mengder utdaterte og frakoblede data på flere lagringsplasser. Skal man da finne all eksisterende informasjon om en enkeltperson blir dette en stor, om ikke umulig, oppgave.
Bedre avgjørelser betyr et bedre grunnlag for fremtiden, færre sikkerhetsproblemer og mer tid til bedre prosesser.
Støtt organisasjonens langsiktige strategi med GDPR
Nye regelverk som GDPR tvinger selskaper til å starte en ny dialog om hvordan loven kommer til å påvirke dem, hvilke skritt de må ta, og hva resultatet blir. GDPR økte bevisstheten om personvern og hvordan personopplysninger behandles i selskapet, det vil si hvem som har tilgang til hvilken informasjon, og hvorfor.
Slike diskusjoner kan og bør ta utgangspunkt i HR-avdelingen, og utfallet av disse diskusjonene kommer til å få stor innvirkning på resten av virksomheten. GDPR understreker hvordan HR kan støtte og utvikle organisasjonen og dens langsiktige strategi, samt bevege seg bort fra den tidligere administratorfokuserte rollen og heller bli en strategisk ressurs for hele virksomheten.
Når vi ser tilbake – hva har egentlig endret seg etter GDPR?
GDPR har hatt en større effekt enn vi noen gang kan måle. Det har som et minimum tvunget virksomheter til å skape en åpen dialog om hvordan de lagrer data. Gjennom bedre analyse av dataene kan man oppdage flere forretningsmuligheter som kan være lønnsomme for virksomheten.
Selskaper som har ignorert eller utsatt prosessen med å bli i samsvar med GDPR og proaktive når det gjelder datalagring, kommer snart til å bli mer opptatt av å ta ansvar etter hvert som stadig flere GDPR-bøter og -straffer deles ut.
Generelt sett har GDPR vært en nyttig endring som forhåpentligvis fører til at personopplysninger lagres i færre systemer og med høyere sikkerhet. I tillegg til sikkerhetsaspektet betyr nok slike endringer også mindre vedlikeholdsarbeid for HR-avdelingen – noe som vi i Sympa elsker!
