Publish date 2020-03-30
Reading time Lästid: 4 min

GDPR och HR: vilka risker finns i ert företag?

Hanterar ni de anställdas personuppgifter på ett säkert sätt? Även om mycket gjorts sedan GDPR trädde i kraft för två år sedan så finns det alltid områden att förbättra. Här får du några exempel och tips på hur ni kan identifiera GDPR-risker.

År 2020 är trenden ett slags ”GDPR 2.0”. Under 2018 lade man tid och resurser på att anpassa verksamheten till GDPR, för att sedan ”andas ut” under 2019. Idag, 2020, har medvetenheten höjts i samhället och integritetsfrågorna är åter på agendan.

Personuppgifter är hårdvaluta för marknadsföring och kommer ställa högre och högre krav på skydd för vår egen integritet. Integritetsfrågor blir därmed en allt viktigare del av företagets varumärke.

Integritetsfrågor – en viktig del av företagets varumärke.

En hög medvetenhet inom GDPR och informationssäkerhet stärker inte bara företagets varumärke, utan också dess position som arbetsgivare. En bra arbetsgivare ska kunna erbjuda sina anställda en arbetsplats där integritetsfrågan ligger högt på agendan och där den anställde garanteras att utföra sina arbetsuppgifter i en ”GDPR-säker” miljö. Integritetsfrågor är numera lika viktiga som hållbarhetsfrågor.

Bättre hjälpmedel för att hantera anställdas personuppgifter

Ett företags HR-avdelning sitter med stora GDPR-risker oavsett bransch eller verksamhet. Det förekommer alltid känsliga personuppgifter i ett anställningsförhållande och de som jobbar som HR-partners och chefer måste kunna lagen. Ju fler anställda desto större risker.

Många HR-avdelningar har tack vare det nya regelverket äntligen fått utrymme i budgeten till nya HR-system. Man har kunnat investera i bättre arbetsredskap för att hantera personuppgifter som exempelvis skrivare med taggar, dokumentstrimlare, krypteringsprogram för e-mail och stöd för att skicka lönespec via en app eller krypterad länk.

Har ni kontroll över all behandling av anställdas personuppgifter?

Samtidigt som vi är mer medvetna om integritetsfrågor, så finns förbättringsområden hos i stort sett alla företag jag träffar. Det är exempelvis väldigt vanligt att man inte utbildat personalen om vikten av säker GDPR-hantering och att riskklassificera kommunikation.

Det är många som behandlar personuppgifter i ett företag och i mitt arbete stöter jag på många olika sätt att hantera uppgifterna på. Det ska noteras att de flesta företag gör ”någorlunda” rätt men jag vågar påstå att jag sett det mesta som exempelvis:

  • pärmregister med information om alla anställda - öppna för vem som helst att kika i när man ”jobbar över” efter arbetsdagens slut,

  • öppna mappar på filservern med känslig information om anställda – exempelvis resultat från den årliga hälsoundersökningen, lönelistor etc,

  • datorer utan lösenord eller svaga lösenord som ”sommar2019”.

Hur ser det ut hos er?

Identifiera era GDPR-risker med hjälp av några kontrollfrågor

När jag får frågor från företag kring hur man ta sig an GDPR brukar jag säga att man måste tänka riskbaserat. Här är några frågor som kan vara bra att ställa för att bedöma risknivån och få en indikation på hur uppgifterna ska hanteras:

  • Har vi över 250 anställda i vårt företag? Då måste vi enligt GDPR kartlägga hela verksamheten i ett så kallat register över personupppgiftsbehandling. 

  • Känner organisationen till vilka personuppgifter som är s k känsliga uppgifter och varför de anses som känsliga?

  • Hur kommunicerar vi externt, enbart via vanlig e-mail?

  • Vad gör man om personuppgifter kommer i ”orätta händer”, vem gör vad och hur?

  • Om en privatperson kontaktar oss och vill bli borttagen, vem gör vad och hur?

GDPR

Författare av detta blogginlägg:
Elin van Beesel
Elin van Beesel är jurist och arbetar som GDPR-expert på Aspia.