Persondatasikkerhed og HR-systemer – Hvad skal man være bevidst om?

I maj 2018 træder en ny persondata forordning, GDPR (General Data Protection Regulation) i kraft, hvilket indebærer øget krav om datasikkerhed i alle virksomheder i EU, som håndtere persondata i et eller andet omfang.

Den nye persondata forordning, GDPR (General Data Protection Regulation), stiller ikke bare højere krav til din virksomhed, IT og HR. Leverandører af HR-systemer påvirkes også af de nye forhøjede sikkerhedskrav og behøver i forskellig grad at træffe foranstaltninger for at kunne leve op til de nye krav.

At systemleverandørerne forbedrer deres datasikkerhed er selvfølgelig positivt fra et databeskyttelses perspektiv og ikke mindst for dig som overvejer at investere i et HR-system. Men der er stadig nogle vigtige overvejelser, når det kommer til databeskyttelse og HR-systemer.

Overvejelser:

• Forskellige leverandører er forskelligt rustet til at kunne leve op til de nye EU krav og kunne garantere tilstrækkelig sikkerhed for din virksomheds personfølsomme data. Hvis du ikke allerede har et HR-system, men har planer om at investere i et, bør dit valg af leverandør ske med særlig opmærksomhed på deres evne til at levere tilstrækkelige garantier og procedurer for datasikkerhed.
• Den der investere i et HR-system er behandlingsansvarlig, hvilket indebærer at du som kunde hos en HR-systemleverandør, må bedømme hvilken sikkerhedsforanstaltninger der findes i systemet for at beskytte de personfølsomme data som behandles.
• En HR-systemleverandør og alle deres underleverandører som antages for databehandlere, er den behandlingsansvarlige databehandlere. Den behandlingsansvarlige bør derfor sikre sig at databehandleren og deres underleverandører lever op til kravenen i GDPR.
• I forbindelse med stramningen i GDPR, øges kravene for udformning af en databehandler-aftale, hvilket gør at de fleste gamle aftaler med databehandlere, som blev indgået under de forrige regler, må omskrives for at opfylde kravene i den nye GDPR.
• Hvis man benytter en (SaaS) HR-systemleverandør med hovedsæde uden for Europa, er det muligt at din virksomhedsdata kommer til at blive behandlet uden for EU. I så fald må den behandlingsansvarlige sikre sig at der bliver søgt om dispensation ved eventuelle afvigelser fra de europæiske regler.
• Med hensyn til GDPR’s krav om fuldstændig datakontrol (Privacy by design, ændringshistorik, ekspoter, slet-mig-funktionalitet etc.) kan en virksomhed komme langt ved at reducere antallet af systemer hvor data gemmes og behandles. Ved at benytte et centralt HR-system, hvor størstedelen af processerne og medarbejder-stamdata kan gemmes og behandles, undgår virksomheden at sprede persondata i mange forskellige systemer.