Arbeidsliv
– Det er helt krise
En av landets fremste eksperter på personvern slår alarm: Norske bedrifter har ikke peiling på hvor lenge de kan oppbevare informasjon eller når den skal slettes, viser undersøkelse. I mai kan dette få alvorlige konsekvenser for bedriftene.
HR Norge har gjennomført en undersøkelse om hvordan det står til med håndteringen av personvern i arbeidslivet tre måneder før EUs personvernregler, GDPR, tas i bruk. Resultatene er trist lesning. Der kommer det blant annet frem at over 85 prosent av virksomhetene aldri sletter HR–data som cv-er, attester eller søknader. Tallene for oppbevaring av regnskapsdata, lønnsinformasjon og medarbeiderevaluering er også i kraftig clinch med GDPR–reglene.
Advokat Eva Jarbekk i Advokatfirmaet Schjødt står bak design og innhold i undersøkelsen til HR Norge. Idéen kom da hun registrerte at alle bedrifter sitter med de samme spørsmålene om hvordan de skal forholde seg til de nye personvernreglene.
Jarbekk har arbeidet med personvern siden 1990–tallet, og er en av de ledende advokatene i Norge innen personvern og særlig personvernforordningen. Hun arbeider mye med ny teknologi slik som beacons, kunstig intelligens, GPS–lokalisering, annen lokasjonsteknologi og skytjenester opp mot personvernforordningen. Hun er rådgiver for mange virksomheter, både innen spesialiserte spørsmål – som forståelsen av metadata – og på mer generell utarbeidelse av dokumentasjon relatert til personvern.
Ifølge Jarbekk viser undersøkelsen to ting:
Bedriftene vet ikke hvor lenge de kan oppbevare informasjon, og de sletter ingenting av den.
– Dette er helt krise. Hovedprioriteten i regelverket vi må forholde oss til er jo at ting skal slettes, sier hun.
Datatilsynet har ikke kapasitet
Jarbekk forteller at målet med undersøkelsen og utarbeidelsen av en standard var at den også skulle bli en norm. Dette hadde imidlertid Datatilsynet ikke kapasitet til å følge opp, forteller hun:
– En slik bransjenorm burde vært utarbeidet for 15 år siden, og kunne ha gitt norske bedrifter store gevinster. Bedriftene må ha kunnskap om når de skal slette dokumenter og filer, forteller hun.
Konsekvensene kan bli mer dyrekjøpte enn bedriftene er klar over, både i forhold til økonomi og omdømme:
– Bedriftene kan få klekkelige økonomiske bøter fra Datatilsynet, forutsatt at de følger opp sakene. Ansatte kan dessuten gå sammen om søksmål mot arbeidsgivere og tidligere arbeidsgivere. Det vil bli mange misfornøyde medarbeidere der ute, utdyper hun.
Lite kunnskap også i andre land
I Norge er de fleste bedrifter små eller mellomstore. Det innebærer at mange av dem ikke har opparbeidet seg rutiner eller nok kunnskap om personvern. Ifølge Jarbekk kommer ikke bedriftene utenom at de må fortelle hvor lenge de oppbevarer data om ansatte. Mange arbeidsgivere har dessuten ikke tekniske muligheter til å opprettholde et tilfredsstillende system. Datasystemene er rett og slett for dårlige.
I utlandet er situasjonen om mulig enda dystrere, med tanke på personvern. Jarbekk forteller at HR Norge har snakket med organisasjoner i andre land, som kan berette om en enda større handlingslammelse enn her hjemme.
Det finnes knapt én virksomhet som kommer til å være ajour med GDPR 1. mai
– Der var situasjonen sjokkerende. Norge ligger godt an, sammenliknet med en del av disse landene, sier Jarbekk.
Hun holder selv kurs innen emnet, og opplever en enorm etterspørsel i månedene før personvernreglene trer i kraft.
– Bedriftene trenger åpenbart opplæring i dette. De synes dessuten at dette er vanskelig. Hvor lenge kan de oppbevare en medarbeidersamtale, for eksempel? En advarsel? Det er mange tvilsspørsmål som bedriftene ikke vet svaret på, og som ingen hittil har hjulpet dem med, sier hun.
– Kølsvart
Daglig leder i HR Norge, Even Bolstad, beskriver resultatene fra undersøkelsen som «kølsvarte». Han peker på at mange bedrifter har en svært bratt læringskurve, og at utgangspunktet deres var dårlig.
– Men det er viktig å presisere at det legges ned en betydelig innsats for å forbedre seg. Det skal bedriftene ha kreditt for, sier han.
Ifølge Bostad er situasjonen slik at personopplysninger flyter rundt i bedriftenes skuffer, og at kontrollen er ikke–eksisterende.
– Det finnes knapt én vikrsomhet som kommer til å være ajour med GDPR 1. mai. Likevel ligger arbeidet i Norge i forkant av det man gjør i mange andre land, forteller han.
Med undersøkelsen og utarbeidelsen av standarden har HR Norge ønsket å bygge bro mellom praktikerne og jusen. Den praktiske standarden skal legges ut på organisasjonens nettsider innen kort tid. Det har organisasjoner i andre land merket seg, påpeker han. Mye av arbeidet som gjøres nå foregår for å gjøre standarden forståelig for bedriftene som skal ta den i bruk.
– HMS er et eksempel: Her skal bedriftene ha en systematikk og en oppfølging. Det holder ikke med en plakat på veggen. Vi har utarbeidet en liste over alt som skjer før, under og etter et ansettelsesforhold, for eksempel. Standarden bør i utgangspunktet bli en norm til etterlevelse. Hva gjør du med en cv? Hvor lenge beholder du den? Dette er viktige spørsmål i denne sammenhengen, utdyper Bolstad.
Bedriftene kan få klekkelige økonomiske bøter fra Datatilsynet
Han understreker at virksomheter har rom for å gjøre selvstendige valg, for eksempel med helseopplysninger, men konflikter som kan trigge søksmål står de selv ansvarlige for. Selve arbeidet handler om aktivt å jobbe med disse spørsmålene, og da er organisasjonskultur et nøkkelord.
– Det må bygges opp en kultur for personvern og personvernopplysninger. Det er fortsatt en lang vei å gå. I dag finner mange ledere ting som ikke burde være der på sine egne datamaskiner. «Kjekt å ha»–lagringen er ikke så kjekk lenger. Det må bygge en ny kultur, og bevissgjøringen må defineres på et høyere nivå enn hva den enkelte føler for, forklarer Bolstad.
HR Norge har samarbeidet med jurister, praktikere og systemleverandører om undersøkelsen. Mange virksomheter vet ikke om de skal ta vare på lønnsslipper, eller om HR må ha en kopi av disse.
– Det har vært viktig for oss å ha et samarbeid med faggruppene om dette. Både juristene, praktikerne og systemleverandørene har kommet med gode innspill, sier han.
Bolstad peker på at konsekvensene av å bryte regelverket kan bli mer alvorlig enn mange bedrifter tror.
– I ytterste konsekvens blir det svært tøffe økonomiske konsekvenser. Slegga kan ramme med stor kraft, advarer han.
Det er de slappe og lempfeldige som først vil få smake sanksjonene. Har du en ærlig og systematisk tilnærming til GDPR, derimot, ligger du bedre an. Ifølge Bolstad handler dette i bunn og grunn om god ledelse.
– Men Datatilsynet vil trenge hjelp fra organisasjoner som oss, for å få fulgt opp dette, påpeker han.
– Produktiv effekt
Ifølge Bolstad har undersøkelsen harr produktiv effekt på virksomhetene: Etter undersøkelsen har mange virksomheter fått stort fokus på compliance (å opptre i samsvar med reglene, journ.anm.) i forhold til GDPR, og det gjøres mye godt arbeid, ikke bare innenfor HR, men også innenfor for eksempel regnskap og markedsføring.
– Det er ingen grunn til å tro at utgangspunktet er bedre, og utfordringene større, innenfor for eksempel salg og markedsføring enn det er innen HR. Det er derfor et poeng at utfordringen må håndteres på virksomhetsnivå, i tett dialog med den kompetansen som ligger i de enkelte funksjonene og den typen maler og sjekklister som vi bidrar med, sier han.
Læringskurven er bratt, og noen av utfordringene er mer komplekse enn mange så for seg på forhånd. Nettopp derfor har det vært viktig å gjøre veilederen enklest mulig, slik at praktikerne, enten de sitter i HR eller linjeledelsen, ikke bare forstår den – men får et aktivt eierforhold til den.
– På den måten kan de bidra til å dra lasset og bygge kultur for compliance og personvern, avslutter Bolstad.