Arbeidsliv

Illustrasjonsfoto.

– Det er helt krise

En av landets fremste eksperter på personvern slår alarm: Norske bedrifter har ikke peiling på hvor lenge de kan oppbevare informasjon eller når den skal slettes, viser undersøkelse. I mai kan dette få alvorlige konsekvenser for bedriftene.

Bård Andersson
Publisert Sist oppdatert

HR Norge har gjennomført en undersøkelse om hvordan det står til med håndteringen av personvern i arbeidslivet tre måneder før EUs personvernregler, GDPR, tas i bruk. Resultatene er trist lesning. Der kommer det blant annet frem at over 85 prosent av virksomhetene aldri sletter HR–data som cv-er, attester eller søknader. Tallene for oppbevaring av regnskapsdata, lønnsinformasjon og medarbeiderevaluering er også i kraftig clinch med GDPR–reglene.

Advokat Eva Jarbekk i Advokatfirmaet Schjødt står bak design og innhold i undersøkelsen til HR Norge. Idéen kom da hun registrerte at alle bedrifter sitter med de samme spørsmålene om hvordan de skal forholde seg til de nye personvernreglene.

Jarbekk har arbeidet med personvern siden 1990–tallet, og er en av de ledende advokatene i Norge innen personvern og særlig personvernforordningen. Hun arbeider mye med ny teknologi slik som beacons, kunstig intelligens, GPS–lokalisering, annen lokasjonsteknologi og skytjenester opp mot personvernforordningen. Hun er rådgiver for mange virksomheter, både innen spesialiserte spørsmål – som forståelsen av metadata – og på mer generell utarbeidelse av dokumentasjon relatert til personvern.

Ifølge Jarbekk viser undersøkelsen to ting:

Bedriftene vet ikke hvor lenge de kan oppbevare informasjon, og de sletter ingenting av den.

– Dette er helt krise. Hovedprioriteten i regelverket vi må forholde oss til er jo at ting skal slettes, sier hun.

Datatilsynet har ikke kapasitet

Foto Advokat i Schjødt, og ekspert på personvern, Eva Jarbekk. (Foto: Privat)

Jarbekk forteller at målet med undersøkelsen og utarbeidelsen av en standard var at den også skulle bli en norm. Dette hadde imidlertid Datatilsynet ikke kapasitet til å følge opp, forteller hun:

– En slik bransjenorm burde vært utarbeidet for 15 år siden, og kunne ha gitt norske bedrifter store gevinster. Bedriftene må ha kunnskap om når de skal slette dokumenter og filer, forteller hun.

Konsekvensene kan bli mer dyrekjøpte enn bedriftene er klar over, både i forhold til økonomi og omdømme:

– Bedriftene kan få klekkelige økonomiske bøter fra Datatilsynet, forutsatt at de følger opp sakene. Ansatte kan dessuten gå sammen om søksmål mot arbeidsgivere og tidligere arbeidsgivere. Det vil bli mange misfornøyde medarbeidere der ute, utdyper hun.

Lite kunnskap også i andre land

I Norge er de fleste bedrifter små eller mellomstore. Det innebærer at mange av dem ikke har opparbeidet seg rutiner eller nok kunnskap om personvern. Ifølge Jarbekk kommer ikke bedriftene utenom at de må fortelle hvor lenge de oppbevarer data om ansatte. Mange arbeidsgivere har dessuten ikke tekniske muligheter til å opprettholde et tilfredsstillende system. Datasystemene er rett og slett for dårlige.

I utlandet er situasjonen om mulig enda dystrere, med tanke på personvern. Jarbekk forteller at HR Norge har snakket med organisasjoner i andre land, som kan berette om en enda større handlingslammelse enn her hjemme.

Det finnes knapt én ­virksomhet som kommer til å være ajour med GDPR 1. mai

– Der var situasjonen sjokkerende. Norge ligger godt an, sammenliknet med en del av disse landene, sier Jarbekk.

Hun holder selv kurs innen emnet, og opplever en enorm etterspørsel i månedene før personvernreglene trer i kraft.

– Bedriftene trenger åpenbart opplæring i dette. De synes dessuten at dette er vanskelig. Hvor lenge kan de oppbevare en medarbeidersamtale, for eksempel? En advarsel? Det er mange tvilsspørsmål som bedriftene ikke vet svaret på, og som ingen hittil har hjulpet dem med, sier hun.

– Kølsvart

Foto HR Norge–sjef, Even Bolstad. (Foto: HR Norge)

Daglig leder i HR Norge, Even Bolstad, beskriver resultatene fra undersøkelsen som «kølsvarte». Han peker på at mange bedrifter har en svært bratt læringskurve, og at utgangspunktet deres var dårlig.

– Men det er viktig å presisere at det legges ned en betydelig innsats for å forbedre seg. Det skal bedriftene ha kreditt for, sier han.

Ifølge Bostad er situasjonen slik at personopplysninger flyter rundt i bedriftenes skuffer, og at kontrollen er ikke–eksisterende.

– Det finnes knapt én vikrsomhet som kommer til å være ajour med GDPR 1. mai. Likevel ligger arbeidet i Norge i forkant av det man gjør i mange andre land, forteller han.

Med undersøkelsen og utarbeidelsen av standarden har HR Norge ønsket å bygge bro mellom praktikerne og jusen. Den praktiske standarden skal legges ut på organisasjonens nettsider innen kort tid. Det har organisasjoner i andre land merket seg, påpeker han. Mye av arbeidet som gjøres nå foregår for å gjøre standarden forståelig for bedriftene som skal ta den i bruk.

– HMS er et eksempel: Her skal bedriftene ha en systematikk og en oppfølging. Det holder ikke med en plakat på veggen. Vi har utarbeidet en liste over alt som skjer før, under og etter et ansettelsesforhold, for eksempel. Standarden bør i utgangspunktet bli en norm til etterlevelse. Hva gjør du med en cv? Hvor lenge beholder du den? Dette er viktige spørsmål i denne sammenhengen, utdyper Bolstad.

Bedriftene kan få ­klekkelige ­økonomiske bøter fra Data­tilsynet

Han understreker at virksomheter har rom for å gjøre selvstendige valg, for eksempel med helseopplysninger, men konflikter som kan trigge søksmål står de selv ansvarlige for. Selve arbeidet handler om aktivt å jobbe med disse spørsmålene, og da er organisasjonskultur et nøkkelord.

– Det må bygges opp en kultur for personvern og personvernopplysninger. Det er fortsatt en lang vei å gå. I dag finner mange ledere ting som ikke burde være der på sine egne datamaskiner. «Kjekt å ha»–lagringen er ikke så kjekk lenger. Det må bygge en ny kultur, og bevissgjøringen må defineres på et høyere nivå enn hva den enkelte føler for, forklarer Bolstad.

HR Norge har samarbeidet med jurister, praktikere og systemleverandører om undersøkelsen. Mange virksomheter vet ikke om de skal ta vare på lønnsslipper, eller om HR må ha en kopi av disse.

– Det har vært viktig for oss å ha et samarbeid med faggruppene om dette. Både juristene, praktikerne og systemleverandørene har kommet med gode innspill, sier han.

Bolstad peker på at konsekvensene av å bryte regelverket kan bli mer alvorlig enn mange bedrifter tror.

– I ytterste konsekvens blir det svært tøffe økonomiske konsekvenser. Slegga kan ramme med stor kraft, advarer han.

Det er de slappe og lempfeldige som først vil få smake sanksjonene. Har du en ærlig og systematisk tilnærming til GDPR, derimot, ligger du bedre an. Ifølge Bolstad handler dette i bunn og grunn om god ledelse.

– Men Datatilsynet vil trenge hjelp fra organisasjoner som oss, for å få fulgt opp dette, påpeker han.

– Produktiv effekt

Ifølge Bolstad har undersøkelsen harr produktiv effekt på virksomhetene: Etter undersøkelsen har mange virksomheter fått stort fokus på compliance (å opptre i samsvar med reglene, journ.anm.) i forhold til GDPR, og det gjøres mye godt arbeid, ikke bare innenfor HR, men også innenfor for eksempel regnskap og markedsføring.

– Det er ingen grunn til å tro at utgangspunktet er bedre, og utfordringene større, innenfor for eksempel salg og markedsføring enn det er innen HR. Det er derfor et poeng at utfordringen må håndteres på virksomhetsnivå, i tett dialog med den kompetansen som ligger i de enkelte funksjonene og den typen maler og sjekklister som vi bidrar med, sier han.

Læringskurven er bratt, og noen av utfordringene er mer komplekse enn mange så for seg på forhånd. Nettopp derfor har det vært viktig å gjøre veilederen enklest mulig, slik at praktikerne, enten de sitter i HR eller linjeledelsen, ikke bare forstår den – men får et aktivt eierforhold til den.

– På den måten kan de bidra til å dra lasset og bygge kultur for compliance og personvern, avslutter Bolstad.

Dette betyr GDPR for din virksomhet:

Alle norske virksomheter får nye plikter:
  • Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft
Alle skal ha en forståelig personvernerklæring:
  • Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå
Alle skal vurdere risiko og personvernkonsekvenser:
  • Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser
Alle skal bygge personvern inn i nye løsninger:
  • De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer
Mange virksomheter må opprette personvernombud:
  • Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart
Reglene gjelder også virksomheter utenfor Europa:
  • Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter
Alle databehandlere får nye plikter:
  • Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver
Alle bør samarbeide i egne nettverk og følge bransjenormer:
  • De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene
Alle får nye krav til avvikshåndtering:
  • Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag
Alle må kunne oppfylle borgernes nye rettigheter:
  • Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned
Kilde: Datatilsynet
personvern arbeidsliv bedrifter
Powered by Labrador CMS