Du passer måske på borgernes data, men hvad med medarbejdernes?
Uanset om du kun har en enkelt medarbejder ansat, eller om du har en stor HR-funktion til at håndtere hundredvis af medarbejdere, skal du opbevare dine medarbejderdata i overensstemmelse med GDPR. Foto: Getty Images
Stefan Timmermann har mange års erfaring inden for it og telekommunikation, hvor han især har beskæftiget sig med kommunikation og markedsføring, samt rådgivning og analyser til såvel det offentlige som private virksomheder.
Stefan skriver for samfundsdesign.dk og arbejder til daglig hos EG. Her har han ansvaret for PR og kommunikation i EG's division for Business Ready Solutions, som tilbyder færdige it-systemer i skyen til specifikke brancher – eksempelvis håndværkere, advokater og læger.
Kontakt og følg Stefan Timmermann
EU's persondataforordning (GDPR) omfatter også data om dine medarbejdere. Derfor er det en god idé at overveje, om du opbevarer ansøgningsskemaer og andre data om dine medarbejdere forsvarligt.
Har din virksomhed et intranet, bør du også holde øje med, hvad der bliver opbevaret og delt her.
Uanset om du kun har en enkelt medarbejder ansat, eller om du har en stor HR-funktion til at håndtere hundredvis af medarbejdere, skal du opbevare dine medarbejderdata i overensstemmelse med GDPR. Kan data tilbageføres til et individ, hører de i reglen under GDPR. Alligevel kommer mange organisationer og virksomheder til at tage lidt for lempeligt på reglerne:
En mindre virksomhed med nære familierelationer på lønningslisten, fx et mindre behandlingstilbud, vil eksempelvis ikke nødvendigvis anse data som følsomme. Det kan også være i tilfælde, hvor en medarbejder selv har registreret data og ved ansættelsens ophør ønsker at slette alle data. Her kan det gå op for virksomheden for sent, at den ikke har en procedure for håndtering af medarbejderdata.
Mange virksomheder benytter ikke et personale- eller HR-system og skal derfor eksempelvis være særligt opmærksomme på at begrænse adgangen til ansøgninger i deres organisation og huske, at ansøgningerne skal slettes inden for seks måneder.Direktør Jesper Dudahl, intras
Som arbejdsgiver må du naturligvis gerne behandle personoplysninger, der er nødvendige for ansættelsesforholdet – eksempelvis et kontonummer til udbetaling af løn. Men du har pligt til at begrænse adgangen til disse data for andre end relevante personer i din organisation. Og du skal især være opmærksom på, om du har lov til at gemme de konkrete personoplysninger om dine medarbejdere.
– GDPR kommer til at udfordre virksomhederne på deres håndtering af medarbejderdata. Mange virksomheder benytter ikke et personale- eller HR-system og skal derfor eksempelvis være særligt opmærksomme på at begrænse adgangen til ansøgninger i deres organisation og huske, at ansøgningerne skal slettes inden for seks måneder.
Der er altså behov for at indføre procedurer for sletning – også fra den mailboks, ansøgningerne stiles til, siger direktør Jesper Dudahl, der har udviklet intranetløsningen "intras".
Læs artikel: GDPR: Følg reglerne, men undgå panik!
Mange offentlige og private virksomheder har et intranet. Da et intranet er kendetegnet af en decentral struktur, hvor alle kan lægge data og hermed persondata op, kræver det, at den enkelte medarbejder har særligt fokus på GDPR. Derfor kan det være en god idé at opstille nogle procedurer eller sågar politikker, der sikrer, at medarbejderdata håndteres korrekt.
– Når vi ser på et intranet i relation til GDPR, kan der opstå et paradoks i, at vi som virksomhed ønsker at fremme videndeling og gøre vores data så tilgængelige som muligt, men samtidig skal sikre, at vi efterlever principperne i GDPR om at begrænse persondata.
Det gælder naturligvis for data om kunder og samarbejdspartnere, men i lige så høj grad for data om andre ansatte og data om medarbejderens egen person, siger direktør Jesper Dudahl.
Han fortæller, at han lige nu er ved at tilføje en funktion til sin egen intranetløsning, der gør det muligt for administratoren at søge en tidligere medarbejders data frem med henblik på at slette eller anonymisere alle opslag og data på vedkommende ved endt ansættelse.
Læs mere: Send personfølsomme data sikkert via e-mail
GDPR omfatter meget af det indhold, du har liggende på dit intranet. Derfor er det en god idé at gå igennem de seneste opdateringer, webstatistikker, konkurrencer, kommentarfelter etc. på dit intranet og overveje, om din virksomheds procedurer skal strammes op:
Når der er styr på brugerstrukturen og adgange, kan intranettet omvendt også bruges som en effektiv metode til at begrænse adgangen til medarbejderdata til kun de relevante medarbejdere. På mange måder kan intranettet også være en måde at få GDPR på agendaen på og understøtte princippet om, at medarbejderne løbende forholder sig til risikobilledet og er opmærksomme på sikkerhed og procedurer for persondata.
– Et intranet er jo ideelt som debatforum, så en GDPR-tråd må blive obligatorisk fremover. Jeg forventer også, at vi som systemleverandør får en tættere dialog med brugerne om deres eksisterende procedurer for medarbejderdata.
Når vi designer vores systemer, tænker vi jo også GDPR ind, og jeg forestiller mig eksempelvis, at vi kan lægge hjælpetekster ind, der minder brugerne om GDPR-principperne, i forbindelse med at de lægger informationer ud, siger Jesper Dudahl.
Læs artikel: eTavler sparer tid og sikrer kommunikationen
Læs artikel: Skal jeg mon sælge mine persondata til Mogens?
Læs mere: Lad os digitalisere det offentlige sammen – nemt og sikkert
