Husk det nu: CV’er er også persondata - få styr på dem inden GDPR træder i kraft

Klumme: I mange virksomheder er det almindeligt, at man har tilbudsmapper liggende enten i fysisk kopi eller som mapper på et fællesdrev. Disse mapper vil typisk indeholde det materiale, der er sendt frem som en del af tilbuddet/prækvalifikationen. Det være sig tro og love-erklæringer, referencer – og CV’er. Dette er en rigtig skidt idé.

Hvis man beskæftiger sig med noget som helst, der relaterer sig til mennesker, og man gemmer noget på skrift og endnu ikke har hørt om den nye databeskyttelsesforordning, GDPR, så bør man overveje, om man er i den rigtige branche.

Spøg til side – GDPR er over alt for tiden, og her kommer så endnu et indlæg om emnet.

Persondata og håndtering af disse har i mange år været opfattet som noget, folkene i HR tog sig af.

Ind imellem kom der en fællesmail rundt med en række bullet points med ting man skulle huske, men derudover har langt de fleste vidensmedarbejdere faktisk ikke fokuseret specielt meget på det.

Det ændrede sig med et slag, da EU 27. april 2016 vedtog den nye databeskyttelsesforordning – GDPR. Forordningen træder i kraft 25. maj 2018, og rigtig mange virksomheder har derfor lige nu mere end almindelig travlt med at blive compliant med de nye regler.

Dog er det vigtigt at nævne, at der faktisk ikke er specielt meget nyt under solen.

Principperne har fået et par tilføjelser og nye navne, men i store træk er det de samme regler, som gælder.

Store bøder venter
Den helt store ændring er størrelsen på de bøder, man risikerer at få, hvis man bliver taget i ikke at have styr på de nye regler.

Rigtigt mange virksomheder er optagede af, hvordan de håndterer persondata, de måtte være kommet i berøring med fra deres kunder, samarbejdspartnere, borgere osv. Og det er bestemt vigtigt, men der er ét område, som mange vidensvirksomheder glemmer.

Vær opmærksom på CV'erne
Deltager man i offentlige udbud inden for serviceydelser, rådgivning, ekspert- eller konsulentbistand m.m., skal man være ekstra opmærksom på sine CV’er.

De fleste virksomheder har en procedure i HR, som sørger for, at CV’er på jobansøgere, uopfordrede ansøgninger m.m. bliver gemt korrekt og slettet rettidigt.

Det samme gør sig desværre ikke gældende for tilbudsafdelingen.

I utrolig mange virksomheder er det almindeligt, at man har tilbudsmapper liggende enten i fysisk kopi eller som mapper på et fællesdrev.

Disse mapper vil typisk indeholde det materiale, der er sendt frem som en del af tilbuddet/prækvalifikationen. Det være sig tro og love-erklæringer, referencer – og CV’er.

Dette er af flere årsager en rigtig skidt idé.

For det første kræver den nye forordning, at kun personer, som har grund til at have adgang til personoplysningerne, faktisk har adgang.

Kort sagt: det er kun dem, som skal bruge oplysningerne i deres arbejde, som må have adgang til dem. CV’er må dermed ikke ligge i en åben mappe på fællesdrevet, som alle i princippet har adgang til.

Er det nu også nødvendigt?
For det andet indeholder forordningen det, man kalder en ”opbevaringsbegrænsning”. Det betyder, at man kun må gemme persondata, så længe de er nødvendige.

Når en medarbejder fratræder sin stilling, er der dermed ikke længere hjemmel i loven til at opbevare vedkommendes CV.

Mange virksomheder har styr på, at CV’erne på fratrådte medarbejdere bliver slettet fra det centrale CV-bibliotek, men rigtig mange har ikke styr på, at de også bliver slettet fra alle tilbudsmapperne.

Et godt råd vil derfor være: Stop med at placere CV’er i tilbudsmapperne – det er en frygtelig opgave at skulle igennem 200 gamle tilbud for at undersøge, om Jørgens CV skulle gemme sig et sted.

I stedet er det en rigtig god idé at placere en fortegnelse i tilbudsmappen, som viser hvilke CV’er,  der er anvendt.

CV’erne bør være placeret i én samlet mappe.

Det letter både tilgangen til GDPR og giver også adskillige andre fordele i håndteringen af CV’er – hvem kender ikke til problemet med at finde nyeste version?

Hvilke oplysninger?
For det tredje skal man være meget opmærksom på hvilke oplysninger, CV’er indeholder. Forordningen skelner imellem ”almindelige personoplysninger” og ”følsomme personoplysninger”.

Sidstnævnte kræver ekstra sikkerhedsforanstaltninger, men er til gengæld heller ikke særlig ofte anvendt på CV’er. Der er dog undtagelser. Særligt i rådgivnings- og ingeniørbranchen samt entreprenørbranchen er der to typer af oplysninger som ofte fremgår:

- Vaccinationer – arbejder man med spildevand, er der en række lovpligtige vaccinationer, man skal have, men da vaccinationer i praksis falder under kategorien ”helbredsoplysninger”, er der faktisk tale om følsomme personoplysninger.

- Især inden for ingeniørbranchen er det almindeligt, at man angiver medlemskab af f.eks. IDA. Men medlemskaber af fagforeninger er også følsomme personoplysninger.

Falder man inden for nævnte brancher, skal man derfor være ekstra opmærksom på, hvordan man opbevarer sine CV’er.

Der er dog ret vide rammer...
Dog skal det nævnes, at alt ikke er fuldstændig kafkask. Især i forhold til brugen af CV’erne er der temmelig vide rammer, så længe der er tale om nuværende ansatte (fratrådte skal bare væk hurtigst muligt!).

Så længe man kan fremlægge ”gyldig grund” til, hvorfor ansatte skal have adgang til kollegernes CV’er, er der ingen ko på isen.

Det bedste man kan gøre er derfor at udarbejde retningslinjer for, hvem der må have adgang til CV’er samt argumentation for, hvorfor denne adgang er påkrævet, for at den enkelte medarbejder kan udføre sit arbejde bedst muligt.

En række af vores kunder benytter for eksempel i praksis CV’erne som et opslagsværk til brug i forhold til vidensdeling.

Dette sætter en medarbejder i Aalborg i stand til at finde en kollega i Kalundborg med kompetencer inden for samme område hvilket kan være af stor værdi, når en kompleks opgave skal løses.

Det vigtige er, at man har taget stilling til, hvem der skal have adgang, og at man har styr på argumentationen i forhold til, hvorfor dette er ønskeligt for virksomheden.

Og én sidste gang for prins Knud – CV’er på fratrådte medarbejdere skal man skaffe sig af med hurtigst muligt. Man må naturligvis gerne gemme optegnelser af selve projektteamet, men de individuelle CV’er bør man slette med det samme.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Udnyt det nye it-marked: Som it-chef har du aldrig haft bedre mulighed for at finde den rette it-løsning fra den rette leverandør
De mange nye spillere på it-markedet, der udfordrer de gamle leverandører og deres prismodeller og aftalevilkår, giver it-cheferne gode kort på hånden. Det skal udnyttes.
Computerworld
Fona-ejer skal betale million-beløb tilbage: Hævede 22 millioner kroner lige inden krak
Fona-ejeren Elkjøp Nordic trak uretmæssigt 22 millioner kroner ud af selskabet lige inden salget af den kendte kæde gik ned med flaget.
CIO
Cybersikkerhed til hele Danmark: Endelig faldt tiøren – lad os så komme i gang
Klumme: Regeringen og en række partier har afsat 1,4 milliarder kroner til at beskytte Danmark mod fremtidige cyber-angreb. Det er meget positivt. Nu bør vi handle. For pengene har ingen værdi i sig selv.
Job & Karriere
Regeringen vil gøre it-undervisning obligatorisk i folkeskolen: "Planen er, at alle danske børn skal lære at kode," siger undervisningsministeren
Interview: Regeringen indfører obligatorisk undervisning i it i folkeskolen på alle klassetrin og præsenterer fredag ny plan. Ny forsøgsordning i op til 50 skoler skal bane vejen. “Visionen for planen er, at alle danske børn skal lære at kode,” siger undervisningsminister Merete Riisager (LA).
White paper
Gratis bog: Database Protection for Dummies – Oracle edition
’Database Protection for Dummies’ er en af de bøgerne i den populære serie – her i en særlig Oracle-udgave. Bogen er skrevet af Lawrence Miller, som er Certified Information Systems Security Professional (CISSP). De to første kapitler handler om moderne database-beskyttelse og udfordringerne ved recovery og de vigtige aspekter af dette, mens de to sidste kapitler handler om Oracles løsninger og svar på disse udfordringer. Database Protection for Dummies – Oracle edition. 30 sider på engelsk, 2017