Teknisk direktør i Infotjenester Flemming Ottosen

Hvor langt har bedriftene kommet i å endre rutinene etter GDPR-dugnaden? Det tekniske ansvaret for sikring av ansattes persondata ligger ofte hos IT, og krever systemer som snakker sammen. Problemet er integrasjon av systemene, skriver Infotjenesters tekniske direktør i dette innlegget.

For et år siden var EUs personvernforordning (GDPR) på alles lepper. Brudd på de nye personvernreglene kunne føre til bøter på inntil 20 millioner euro, eller opp til fire prosent av den samlede globale årsomsetningen. Dermed var motivasjonen for opprydning på topp og GDPR-dugnad ble iverksatt med stor iver i små og store, private og offentlige virksomheter over det ganske land. 

Jeg tror at mange av de som er ærlige med seg selv sier at de gjorde en god jobb med å rydde opp, men at rutinene ikke er grunnleggende endret. Fremdeles akkumuleres persondata som de strengt tatt ikke burde ha, og disse flyter rundt i mange forskjellige systemer. Systemer som bedriften er avhengige av å bruke i sitt daglige virke, men som ikke snakker godt sammen.

Datatilsynet varsler personverntilsyn

GDPR er en grunnlegende god ting som skal ta vare på dine og mine data og sørge for at de ikke  blir misbrukt. Det er derfor så mange bedrifter ble med på dugnaden: de så verdien i det. Når støvet la seg og GDPR er fjorårets nyhet har nok mange ledere slått seg til ro med at de gjennomførte en grundig ryddesjau, er ferdige med saken og sannsynligvis unngår tilsyn. Datatilsynet har kun ilagt gebyr etter at det nye regelverket trådte i kraft for et år siden, og det er det Bergen kommune som har fått. Oslo kommune har fått varsel om gebyr, skriver Leder.no.

Les mer på Leder.no: Datatilsynet varsler personverntilsyn i år

Som arbeidsgiver sitter virksomheten på sensitive personopplysninger. Det er i arbeidstakers interesse at personopplysninger beskyttes, og de ansatte skal ha tilgang til og kontroll over dataene sine. Hvis dette ikke er på stell kan arbeidstaker sende avviksmelding til Datatilsynet om brudd på personvernrutiner.

HR masterdata 

Etter hvert som arbeidslivet digitaliseres har HR- og IT-folk fått et felles interessefelt. Siden GDPR ble et tema har HR-sjefene fått et annet perspektiv på IT-sikkerhet. Sikring av persondata er noe som berører alle ansatte. Det er noe alle må forholde seg til på et eller annet tidspunkt, enten det gjelder reiseregninger, sykemeldinger, advarsler eller feriesøknader. Det operative ansvaret for sikring av persondata ligger imidlertid i stor grad hos IT, og krever systemer som snakker sammen.

Ett datasett og effektive integrasjoner er en forutsetning for effektiv ledelse av løst sammensatte team og en arbeidshverdag som er i ferd med å heldigitaliseres. Mange skotter til HR masterdata – et sentralt sted hvor man har kontroll på persondataene, og vet hvilke andre systemer som deler dataene og hva de brukes til.

Les også: Hvordan behandler HRM-systemet dine ansattopplysninger?

Hvorfor stopper det opp?

Jeg tror ikke det er mangel på kunnskap eller vilje som har gjort at GDPR-dugnaden stoppet opp i mange bedrifter, at rutinene ikke ble endret og at det stadig akkumuleres persondata som flyter rundt omkring i systemene. Noen bedrifter trodde dette var en engangsjobb, men jeg tror oppbremsingen handler om to ting: investeringsvilje og integrasjonskompetanse. Både bransje og størrelse på virksomheten har innvirkning her. I bransjer der det er behov for mange komplekse systemer som skal fungere sammen, er som regel investeringsviljen høyere, og når du kommer over et visst antall ansatte – over 2-300 mennesker – kommer behovet gjerne av seg selv. 

Se også: Slik hjelper HRM-systemet deg med GDPR

Små og mellomstore bedrifter har tradisjonelt sett valgt å kjøpe hyllevarer; standardisert programvare som ikke skal integreres. Det fungerte fint før, men med digitalisering av stadig flere prosesser, GDPR som krever sikring og kontroll av persondata, og når virksomheten bruker flere forskjellige systemer som alle inneholder ansattopplysninger er det lett å miste oversikten.

Integrasjon av systemer krever kompetanse

Integrasjon er komplekst i sin natur, og det kommer med en kostnad. De fleste moderne systemer har på plass de grensesnittene som kreves for integrering. Men det hjelper ikke dersom virksomheten ikke har kompetanse til å gjøre jobben – da får man ikke utnyttet masterdata på en god måte.

Så man har systemene og de har en grunnstruktur for å kunne snakke sammen, men det er et kompetanse- og kostnadsspørsmål om man klarer å lage dialog mellom dem. En løsning må være at systemleverandørene begynner å strukturere systemene slik at de blir mer fleksible og kompatible. De må slutte å tenke at de lever i en egen boble og kan lage akkurat hva de vil, slik systemleverandører stort sett har operert frem til nå. Man må åpne opp for å bli mer fleksibel i grunnstrukturen i programvaren, og man må i mye større grad samles rundt åpne standarder.

Se også: Les mer om Simployer personalregister

En annen løsning er at bedriftene i mye større grad må investere i integrasjoner. En integrasjonsstrategi vil antakelig bli like viktig som selve systemkartet i fremtiden. Det finnes utallige eksempler der gode systemer ødelegges av dårlige integrasjoner, og det gir dårlig avkastning på investeringen.

Simployer ønsker å være master på persondata

Mange systemleverandører ønsker å være master – navet i hjulet – også vi i Simployer. Vi mener at det er i HR-systemet persondataene først oppstår – at arbeidskontrakten er frøet til persondata, og at HR-systemet er best egnet for å ivareta persondata. Men vi kan antagelig ikke være master for alle typer data. Lønnssystemer, for eksempel, har sine egne mekanismer som det er helt naturlig at de er master for. Tidssystemer har andre mekanismer. Det er mange som vil være master, men du kan ikke være master for alt – og det kan antagelig ikke vi i Simployer heller. Da må vi tilpasse oss dette. Men vi ønsker å være master på persondata. Jeg vil ikke si at vi er 100 prosent ferdig ennå, men vi lager løsninger for å komme dit, og vi er kjent for å ta faget vårt på alvor.

 

Her kan du lese mer om HRM-systemet Simployer

 


Relevante kurs: