EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) är enkel: håll din data uppdaterad och tillgänglig för de som behöver den. Göm den från alla andra. Låter helt vettigt.
Varje individ inom EU har tydliga och rimliga rättigheter. Vi har rätt att ha tillgång till våra egna personuppgifter, rätt att korrigera dem, rätt att själv få använda dem och rätt att ta bort dem. Allt bra så långt.
Men är vi som företag redo när detta ska omsättas i praktiken? Många organisationer använder sitt system för löneadministration som huvuddatabas, stödjer det med dokument i Excel och Word och hanterar viss information med ERP- och IT-system. För att ha förutsättningarna att följa kraven GDPR ställer i tid, börja med att ställa ett par enkla frågor till din organisation:
- När vi blir tillfrågade, kan vi leverera all information om en person inom en rimlig tidsperiod?
- När vi blir tillfrågade, kan vi ta bort all information?
- När vi blir tillfrågade, kan vi ge en person all information i xml eller ett liknande format?
Om du svarar tummen upp på ovanstående, låt oss fortsätta med att fråga om vi vet var all information om en enskild person finns lagrad, varför den lagras, vad vi använder den till, vem som har tillgång till den, var säkerhetskopior finns och hur vi håller informationen (inklusive säkerhetskopior) uppdaterad?
Vad behövs för att er HR ska vara i linje med GDPR?
Anslutningsmöjlighet, konfigurerbara API:er och flexibel hantering av användarrättigheter är de grundläggande egenskaperna som krävs av era system och processer för att göra dem kompatibla med GDPR. För att stödja det här behövs ett HR-system som kan hantera innehåll utan behov av Excel. Och all information måste finnas tillgänglig för andra system med API:er eller andra kontakter, utan att använda e-post.
Vi kan inte öppna data för vem som helst, om ett dataset innehåller information som egentligen inte uppfyller det syftet. Till exempel bör en hemadress inte göras öppen för IT-användare eller ERP-integrationer, om informationen inte verkligen behövs. Information ska inte heller ges till någon användare utan starka argument. Kan vara svårt i många system, men är vettigt i praktiken. Det går tyvärr inte längre att argumentera för att behålla föråldrad teknologi.
Den enkla lösningen vore att begränsa HR, men det är helt enkelt inte heller rimligt.
Hur bör HR förbereda sig inför 2018?
Vi har fortfarande tid på oss innan GDPR träder i kraft, omkring ett år.
Vi känner till hur regelverket är formulerat och vad myndigheternas grundläggande instruktioner och riktlinjer kommer vara, även om detaljerna fortfarande är i förändring. Vi får nya instruktioner hela tiden och nästa år ska vi börja få förhandsavgöranden.
Allt det här innebär att GDPR är ett maratonlopp. Vi borde ha startat vårt projekt för att omforma våra processer vid det här laget, och vi har 12 månader på oss att förvandla projektet till en löpande process.
Du kan börja med att ta en titt på vår grundläggande GDPR-checklistan för HR.
När du väl har fått ordning på grunden har du en bra stomme för löpande förbättring. Det här låter dig dessutom fokusera på riktiga HR-ämnen. Enbart kompatibilitet mellan system och att möta kraven som GDPR ställer är inte tillräckligt för att erbjuda bra HR, men det är en bra start. Att följa GDPR innebär att ha uppdaterad information redo för de som behöver den. Och det är därför jag älskar GDPR.
Detta är det första inlägget i vår GDPR-bloggserie om den kommande dataskyddsförordningen. Du kan läsa alla våra inlägg i serien här.