Å få kontroll på personaldata er viktig i arbeidet for å bli GDPR-compliant. Løsningen er heldigvis enkel: konsolidering av systemer.
25. mai 2018 trer personvernforordningen i kraft, på engelsk kalt General Data Protection Regulation (GDPR). I motsetning til et direktiv, hvor det er åpent for nasjonale tilpasninger, gjelder en forordning i sin originale tekst. Dermed blir personvernforordningen nedfelt i loven i alle medlemsstater av EU og EØS.
Dette medfører at alle norske virksomheter får nye plikter i henhold til forordningen, som igjen fører til at bedrifter må iverksette en rekke nye tiltak for å bli GDPR-compliant.
Prosessen med å bli GDPR-compliant en oppgave som går på tvers av selskapet. Hver eneste avdeling behandler data på en eller annen måte, og derfor må hele organisasjonen inkluderes i arbeidet mot full compliance.
Når det er sagt, er det behandlingsansvarlig – altså bedriften – som skal bestemme formålet med behandlingen av personopplysninger, og som skal begrunne hvorfor ulike data samles inn. Ansvaret innebærer også å bestemme hvor data skal flyte og hvem som skal ha tilgang.
I tillegg er bedriften ansvarlig for å sørge for at sletterutiner dokumenteres. Registrerte personer kan kreve seg slettet, og dette må kunne dokumenteres utover et brev fra administrerende direktør.
Vi anbefaler at du søker ekstern rådgivning for å få dokumentasjonen i orden dersom den juridiske kunnskapen i organisasjonen er begrenset.
Det er høyst nødvendig å få en oversikt over hvor persondata ligger lagret. Dette gjelder data for både ansatte og kunder av bedriften. I tillegg anbefaler vi å ta kontakt med underleverandører, for å få på plass og sikre en databehandleravtale som bekrefter at data er lagret i henhold til GDPR.
Du bør også vurdere muligheten for at organisasjonen har persondata som ikke er lagret elektronisk. Det finnes systemer som kan prosessere ikke-elektroniske data, men sannsynligvis må noe data behandles manuelt for å unngå sikkerhetshull og fjerne eventuelle svakheter.
Vi ser stadig flere organisasjoner med fragmenterte systemlandskap der data er uoversiktlig og vanskelig å behandle. Hvis dette høres ut som ditt eget selskap, er sannsynligheten stor for at du har mye arbeid foran deg for å bli GDPR-compliant før mai 2018.
Det finnes ikke, så vidt vi vet, løsninger som kan få deg GDPR-compliant over natta. Den gode nyheten er flere systemer som kan bidra til bedre oversikt, og gjøre det lettere å innfri GDPR-kravene.
Med løsninger fra CatalystOne kan du redusere antall systemer og dermed få mer oversiktlig databehandling. I tillegg tilbyr vi rollebaserte tilganger, endringshistorikk og «slett meg»-funksjonalitet som tillater registrerte personer å slettes fra systemene.
Vi lagrer data kun på servere innenfor EU, og drifter fra Norge. Dermed slipper du å bekymre deg for at data lagres i regioner som ikke er regulerte i henhold til GDPR.
Det er et stort fokus på å bli GDPR-compliant før mai 2018. Det er selvsagt viktig, men det er vel så viktig å tenke på hvordan organisasjonen din skal behandle data også etter GDPR innføres.
Velger du CatalystOne får du systemer med god kontroll på HR-masterdata, lettere registrering og vedlikehold av persondata blant annet gjennom self service. Våre systemer hjelper også med løsninger for on- og offboarding av ansatte. Dessuten tilbyr vi moduler som støtter de fleste HR-prosesser og selvfølgelig smidige integrasjoner med dine andre forretningssystemer.