Hvordan behandler HRM-systemet dine ansattopplysninger?

Når du kjøper HRM-system er du som arbeidsgiver ansvarlig for hvordan leverandøren behandler opplysninger om dine ansatte, skriver Infotjenesters tekniske direktør i dette innlegget.
, onsdag 21. juni 2017
Lesetid: 2 Minutter

Et HRM-system inneholder mange sensitive opplysninger om arbeidstakerne. Det kan dreie seg om alt fra informasjon om ansattes sykefravær og ferie til dokumenter som arbeidsavtaler og advarsler. Samtidig kan informasjon som ikke i seg selv er sensitiv være sensitiv i kombinasjon med andre opplysninger.

Når du som arbeidsgiver inngår en avtale med en leverandør av et HRM-system, er det du som er ansvarlig for at informasjon om arbeidstakerne blir behandlet i henhold til det norske personvernregelverket.

Last ned gratis e-bok: Dette må du tenke på når du velger HRM-system.

Virksomheten sitt ansvar

I regelverket skilles det mellom behandlingsansvarlig, som er deg som arbeidsgiver, og databehandler, som i denne sammenhengen er leverandøren av HRM-systemet.

Som behandlingsansvarlig har du ansvar for at alle personopplysninger behandles i tråd med personopplysningsloven, som blant annet innebærer at du ikke har lov til å innhente og behandle personopplysninger uten at det har et bestemt formål.

Husk at du som arbeidsgiver står ansvarlig hvis du inngår en avtale som gjør at sensitiv informasjon om arbeidstakerne blir brukt i strid med regelverket.

Minimumskrav i databehandleravtalen

For å sikre at opplysninger om arbeidstakerne behandles etter det norske regelverket, er det et krav at det inngås en databehandleravtale. Databehandleravtalen skal blant annet sørge for at rollene som behandlingsansvarlig og selskapet som er databehandler ikke blandes.

Det er viktig å forsikre seg om at systemleverandøren aldri forsyner seg av din virksomhet sine data uten ditt samtykke, anonymisert eller ikke. Du må også forsikre deg om at du velger en dataleverandør som forholder seg til databehandleravtaler som er i henhold til norsk regelverk.

Datatilsynet lister opp følgende minimumskrav til databehandleravtaler:

  • Angi formålet med behandlingen
  • Beskriv hvordan personopplysningene skal brukes
  • Bruk av underleverandør skal reguleres i avtalen
  • Ivareta den registrertes rettigheter
  • Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet

Databehandleravtalen må revideres

I tillegg til at det er et krav å ha en databehandleravtale med leverandøren, er det et krav at denne avtalen skal revideres jevnlig. Det stilles imidlertid ikke krav til hvordan eller hvor ofte databehandleravtalen revideres.

Som HR-sjef må du derfor ikke bare forsikre deg om at avtalen revideres, men også at kvaliteten på revisjonen er god.

Ofte vil du se at leverandører av HRM-system bare gjør en egenrevisjon av den inngåtte databehandleravtalen. Enkelte lar kunden selv komme inn og revidere leverandøren. Det tryggeste for deg som kjøper er imidlertid når en uavhengig tredjepart står for revisjonen.

Følger internasjonal standard

I Infotjenester bruker vi et uavhengig revisjonsselskap til å revidere våre databehandleravtaler etter den internasjonale standarden ISAE 3402.

Det gjør vi for at våre kunder skal være sikre på at vi leverer etter de databehandleravtalene vi tilbyr.

Vi tilbyr to ulike nivåer på databehandleravtale; standard og utvidet. Med utvidet databehandleravtale får du også tilgang til revisjonsberetningen.

Strengere regler på trappene

Du bør også være klar over at det er et nytt og strengere regelverk på trappene. I april 2016 ble det vedtatt en ny EU-forordning om personvern som vil tre i kraft i mai 2018.

Etter det nye regelverket får alle databehandlere lovpålagt plikt til å

  • Sørge for informasjonssikkerhet
  • Varsle behandlingsansvarlig om avvik
  • Opprette eget personvernombud

Det nye regelverket presiserer også mye tydeligere nye krav til databehandleravtaler og dens underleverandører, kundens reservasjonsrett og sanksjoner ved brudd.