Har du ansattdata i (alt for) mange systemer?

Å få kontroll på personaldata er viktig i arbeidet for å bli GDPR-compliant. Løsningen er heldigvis enkel: konsolidering av systemer.  

to-personer-kartlegger-bedriftens-persondata

Hva er egentlig GDPR?

25. mai 2018 trer personvernforordningen i kraft, på engelsk kalt General Data Protection Regulation (GDPR). I motsetning til et direktiv, hvor det er åpent for nasjonale tilpasninger, gjelder en forordning i sin originale tekst. Dermed blir personvernforordningen nedfelt i loven i alle medlemsstater av EU og EØS.

Dette medfører at alle norske virksomheter får nye plikter i henhold til forordningen, som igjen fører til at bedrifter må iverksette en rekke nye tiltak for å bli GDPR-compliant.

Tilgang, dataflyt og sletterutiner

Prosessen med å bli GDPR-compliant en oppgave som går på tvers av selskapet. Hver eneste avdeling behandler data på en eller annen måte, og derfor må hele organisasjonen inkluderes i arbeidet mot full compliance.

Når det er sagt, er det behandlingsansvarlig – altså bedriften – som skal bestemme formålet med behandlingen av personopplysninger, og som skal begrunne hvorfor ulike data samles inn. Ansvaret innebærer også å bestemme hvor data skal flyte og hvem som skal ha tilgang.

I tillegg er bedriften ansvarlig for å sørge for at sletterutiner dokumenteres. Registrerte personer kan kreve seg slettet, og dette må kunne dokumenteres utover et brev fra administrerende direktør.

Vi anbefaler at du søker ekstern rådgivning for å få dokumentasjonen i orden dersom den juridiske kunnskapen i organisasjonen er begrenset.

Persondata og fragmenterte systemer

Det er høyst nødvendig å få en oversikt over hvor persondata ligger lagret. Dette gjelder data for både ansatte og kunder av bedriften. I tillegg anbefaler vi å ta kontakt med underleverandører, for å få på plass og sikre en databehandleravtale som bekrefter at data er lagret i henhold til GDPR.

Du bør også vurdere muligheten for at organisasjonen har persondata som ikke er lagret elektronisk. Det finnes systemer som kan prosessere ikke-elektroniske data, men sannsynligvis må noe data behandles manuelt for å unngå sikkerhetshull og fjerne eventuelle svakheter.

Vi ser stadig flere organisasjoner med fragmenterte systemlandskap der data er uoversiktlig og vanskelig å behandle. Hvis dette høres ut som ditt eget selskap, er sannsynligheten stor for at du har mye arbeid foran deg for å bli GDPR-compliant før mai 2018.

 

Et fragmentert systemlandskap fører til at viktig persondata ligger spredt og blir dermed uoversiktlig.

Integrerte løsninger med CatalystOne

Det finnes ikke, så vidt vi vet, løsninger som kan få deg GDPR-compliant over natta. Den gode nyheten er flere systemer som kan bidra til bedre oversikt, og gjøre det lettere å innfri GDPR-kravene.

Med løsninger fra CatalystOne kan du redusere antall systemer og dermed få mer oversiktlig databehandling. I tillegg tilbyr vi rollebaserte tilganger, endringshistorikk og «slett meg»-funksjonalitet som tillater registrerte personer å slettes fra systemene.

 

CatalystOne Solutions bidrar til lettere registrering og vedlikehold av persondata.

Vi lagrer data kun på servere innenfor EU, og drifter fra Norge. Dermed slipper du å bekymre deg for at data lagres i regioner som ikke er regulerte i henhold til GDPR.

Det er et stort fokus på å bli GDPR-compliant før mai 2018. Det er selvsagt viktig, men det er vel så viktig å tenke på hvordan organisasjonen din skal behandle data også etter GDPR innføres.

Velger du CatalystOne får du systemer med god kontroll påHR-masterdata, lettere registrering og vedlikehold av persondata blant annet gjennom self service. Våre systemer hjelper også med løsninger for on- og offboarding av ansatte. Dessuten tilbyr vi moduler som støtter de fleste HR-prosesser og selvfølgelig smidige integrasjoner med dine andre forretningssystemer.

Ta kontakt med oss om hvordan du kan sikre bedriftens persondata.
Christian Holthe

Christian Holthe, 12. juli 2017

Christian Holthe er VP Security & Operations hos CatalystOne Solutions. Med lang erfaring innen IT-sikkerhet og skyløsninger, har Christian en sentral rolle i sikkerhetsarbeidet hos CatalystOne - både internt i organisasjonen og for de programvareløsningene vi utvikler og leverer.