Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Siden maj sidste år har alle europæiske virksomheder været nødt til at sætte sig ind i den nye persondataforordning.
Medierne var fulde af historier og guides, og der findes et utal af virksomheder, der hjælper virksomheder med GDPR compliance.
Men fokus ligger meget ofte på, hvordan man som virksomhed beskytter sine kunders private data.
Men har du tænkt på, at forordningen også omfatter dine medarbejdere og deres data?
Gør din virksomhed, hvad den skal for at leve op til forordningen, når det kommer til indsamlet data om nuværende og tidligere medarbejdere?
GDPR og digitaliseringen
I mit arbejde som Global Privacy Officer hos Cornerstone OnDemand oplever jeg, at GDPR har været det sidste lod på vægtskålen for at digitalisere HR hos mange nordiske virksomheder.
Vi er gode til digitalisering i Norden, men for større virksomheder med aktiviteter og afdelinger i fjerne lande, har der ikke altid været grund til at digitalisere for eksempel medarbejderdata.
Jeg oplever, at GDPR har været en business case for digitalisering for at kunne leve op til den nye forordning.
GDPR har også gjort, at man nu er nødt til at være mere kritisk over for, hvilke data man indsamler og opbevarer om sine medarbejdere.
HR har typisk indsamlet store mængder data, ikke fordi det var bydende nødvendigt, men fordi man måske kunne få brug for det på et senere tidspunkt.
Men med GDPR skal man nu kunne argumentere for, hvorfor man sidder inde med bestemt data om en medarbejder.
Og det betyder også, at man skal nytænke, hvordan, hvorfor og hvornår man indsamler bestemt data.
Skal man ansætte en buschauffør vil det for eksempel være relevant og vigtigt at få en kopi af en ansøgers kørekort tidligt i ansættelsesprocessen?
Mens man ville kunne vente med at indhente for eksempel straffeattester på ansøgere indtil man ved, hvem man ønsker at ansætte. Kort sagt, overvej om du kan argumentere for, hvorfor du sidder inde med al data, du har på alle medarbejdere og ansøgere.
Hvornår skal man slette data?
Ét af de vigtige GDPR-budskaber har været, at man kun skal opbevare data, så længe det er strengt nødvendigt.
Det har fået mange virksomheder til at slette alt, hvad de kan, så hurtigt de kan. Men det er faktisk ikke nødvendigvis nødvendigt – eller smart.
Hvis man bare kan argumentere for, hvorfor man har behov for bestemt data, er det ok at beholde det i en længere periode.
Det kan være nødvendigt både af hensyn til eksempelvis skat, men man går også glip af et stort potentiale for analyse, hvis man sletter visse data for hurtigt af frygt for at være på kant med GDPR.
Og i en tid, hvor HR bliver mere og mere digitaliseret, er der behov for data for at kunne lave analyser, forudsigelser om medarbejderforhold og at fremtidssikre virksomheden mod kompetencemangler.
I forbindelse med mit arbejde med at vejlede nordiske virksomheder om GDPR, har jeg oplevet, at mange har været for langsomme til at ansætte data protection officers - oftest fordi de leder efter kandidater med flere års erfaring og med kompetencer inden for både it og jura.
Her bør man huske, at GDPR handler om at beskytte personer, ikke virksomheden. Jura og it-sikkerhed handler om at beskytte virksomhedens interesser og aktiver, men en DPO skal tage højde for det enkelte individs interesse og kunne levere både en såkaldt ”privacy impact assessment” og procedurer for en ”subject access request”.
Og den slags ansvar kræver specifik DPO-træning – som man heldigvis ser mere og mere af.
Hvis en medarbejder ønsker at få udleveret al data på sig selv, skal en god DPO være i stand til at vurdere, hvad der skal udleveres.
Man kan for eksempel meget nemt komme til at krænke en anden medarbejders ret til beskyttelse af fortrolige oplysninger, hvis man skal udlevere al data, der vedrører den medarbejder, der har indleveret en ”subject access request”.
HR-medarbejdere og –chefer er allerede hårdt pressede og ofte i gang med et større digitaliseringsarbejde af systemer og processer. Derfor faldt GDPR som en ekstra arbejdsbyrde på denne hårdt pressede gruppe.
Det er vigtigt, at virksomhedens topledelse hjælper med at sørge for, at man også på medarbejdersiden lever op til alle aspekter af GDPR.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.