– Mange av kundene vi hjelper gjennom vår fagsupport har ikke begynt å jobbe med disse tingene enda, og da begynner det å haste. De bør finne ut hva som er viktigst for egen virksomhet og starte en kartlegging slik at de får et bilde av hvordan de håndterer opplysningene de har om sine ansatte, sier Hans Gjermund Gauslaa som er juridisk rådgiver i Infotjenester.

Grundig kartlegging

Selve kartleggingen innebærer å skaffe seg en oversikt over hvilke persondata virksomheten har, hvorfor man har dataene, hvor de er lagret og hvor lenge de skal beholdes. Persondata ligger gjerne i svært mange ulike systemer, som HR Management-systemer, lønnssystemer og lignende.

– I en slik kartlegging inngår det også å se på hvem som har tilgang til dataene. Mange IT-systemer har innebygd sikkerhet som skal sørge for at bare de som trenger informasjonen får tilgang, men ofte gir man tilgang på øverste nivå for å forenkle interne arbeidsprosesser. Da er det fort gjort at flere enn de som trenger det får tilgang til informasjon de ikke skulle hatt, forklarer Infotjenesters teknologidirektør, Flemming Ottosen.

– Rutiner for sletting er også en del av kartleggingen, tilføyer Gauslaa.

– En kartlegging bør også inneholde en risikovurdering av IT-leverandørene og kvalitetssikre at avtalene med disse leverandørene er i tråd med regelverket for personvern. Som leverandør av HRM-systemet Simployer, er vi svært opptatt av at vårt system alltid er i samsvar med gjeldende regelverk, forsikrer Ottosen.

Forsterket innsynsrett

Arbeidstakere har lenge hatt rett til å vite hvilke opplysninger som virksomheten har om dem, men med innføringen av GDPR styrkes denne retten. I tillegg vil nok bevisstheten rundt dette bli større:

– Jeg ser ikke bort fra at vi kommer til å se tilfeller der ansatte vil forfølge regelverket med hensyn til innsynsrett. Da er det ekstra viktig at arbeidsgiverne har gode interne rutiner, men også rutiner som sikrer at ikke data kommer på avveie hvis de for eksempel bruker datautviklere i andre land. Det er med andre ord mange ting å gripe tak i, sier Ottosen til slutt.