Forestil dig, at du netop har afholdt MUS-samtale ”på papir” med din medarbejder. I har måske snakket sammen om et skema, du har printet ud, og som din medarbejder har udfyldt. Du skal nu skrive et referat i hånden eller på computeren. Når referatet er færdigt, lægger du det sammen med spørgeskemaet ind i et ringbind med titlen MUS 2022.
Ringbindet stiller du i en reol bag dit skrivebord.
Måske når du slet ikke at lægge skemaet væk, inden du må haste videre til et møde.
Hvis andre personer – kollegaer, samarbejdspartnere, rengøringspersonale – har adgang til dit kontor, er der ikke nødvendigvis noget, der forhindrer dem i at tilgå skemaerne. Både hvis de ligger direkte på skrivebordet, eller hvis de står i et ringbind på reolen.
Opbevarer du dokumenterne i en mappe på din computer skal du også overveje, hvem der har adgang til den. Deler du drev med kollegaerne, eller kan de på anden vis kigge i dine mapper.
Alt dette skal du være opmærksom på, når du opbevarer data på dine medarbejdere. Det skal du, fordi GDPR-reglerne er skærpet.
GDPR står for General Data Protection Regulation, og er en lovgivning, som er indført af EU. Den går også under navnene Databeskyttelsesforordningen og Persondataforordningen, og blev særlig relevant d. 25. maj 2018, da alle virksomheder fra denne dato skulle efterleve GDPR-reglerne.
GDPR handler først og fremmest om at sikre sine kunders og ansattes personoplysninger. Man kan sige, at det er deres lovgivning, og det er din opgave at sikre deres oplysninger i praksis.
Her er en tjekliste med 10 punkter, du skal have styr på i forhold til GDPR-reglerne.
1) Kortlæg informationsaktiver
Kortlæg alle virksomhedens informationsaktiver: F.eks. IT-systemer, mapper med personoplysninger, PC’ere, mobiltelefoner og andet, som kan opbevare og behandle personoplysninger.
2) Skaf aftaler med databehandlere
Sørg for, at du har databehandleraftaler med alle dine databehandlere.
3) Lav din virksomheds lovpligtige fortegnelse
Start med at beskrive alle de processer, hvor der behandles personoplysninger.
I forbindelse med HR kunne det være:
For alle de situationer, hvor virksomheden behandler personoplysninger, skal du kunne kortlægge processerne. Og på baggrund af den kortlægning bør du vurdere, om du skal ændre på nogle processer i din virksomhed, så du bedst muligt beskytter personoplysningerne.
4) Lav en risikovurdering
Lav en risikovurdering af din behandling af personoplysninger.
5) Efterlev kravene til privacy by default og privacy by design
Sørg for, at din virksomhed efterlever kravet om privacy by default i virksomhedens systemer og processer. Når det er muligt, skal du også efterleve kravet om privacy by design.
Privacy-by-design: Sikrer, at databeskyttelse indarbejdes som en integreret del af virksomhedens forretningsprocesser, værdikæde og produktlivscyklus. Lige fra produktionsfasen til at produktet havner hos slutbrugeren.
Privacy-by-default: Sikrer, at produkter allerede fra start er indstillet til at sikre den højeste persondatabeskyttelse. Samtidigt er det nødvendigt at sikre sig, at personlig information om en bruger kun bliver opbevaret, så længe det er nødvendigt for at levere et produkt eller en service.
Formålet er at reducere mængden af data, og at forbrugerne som udgangspunkt selv har ret til at bestemme hvor meget af deres data, der skal deles og være synligt.
6) Sørg for at medarbejdere behandler personoplysninger korrekt
Lav retningslinjer for medarbejderes behandling af personoplysninger og sørg for, at medarbejderne følger jeres retningslinjer.
7) Gennemgå it-sikkerheden i din virksomhed
Gennemgå virksomhedens it-sikkerhed, og følg op med de nødvendige ændringer.
8) Få styr på den fysiske sikkerhed
Gennemgå virksomhedens fysiske sikkerhed: F.eks. aflås adgang til serveren, ryd op i papirer, og overvej om du bør indføre relevante sikkerhedstiltag i din virksomhed.
9) Kommunikér til dine kunder
Oplys dine kunder om, hvordan du bruger deres personoplysninger.
10) Kommunikér til dine ansatte
Oplys dine ansatte om, hvordan du bruger deres personoplysninger.
Bliv endnu klogere på GDPR-reglerne hos www.gdpr.dk.
Evovia lever fuldstændig op til GDPR-reglerne. Benytter du vores system, kan du trygt indsamle og opbevare spørgeskemaer og referater fra f.eks. MUS-samtalerne, sygefraværsdialoger m.m.
Som ny kunde i Evovia modtager du en Databehandleraftale, som du skriver under med elektronisk underskrift, før systemet anvendes. Du vil derfor automatisk have styr på aftalen med Evovia som databehandler.
Desuden udarbejdes der hvert år i maj/juni måned en revisionserklæring (ISAE 3000), som ligger online tilgængelig for alle kunder i Evovia.