Hvor ligger dine HR-data lagret?

Nesten alle velger skybaserte HR-løsninger. Da er det helt avgjørende hvor og hvor sikkert data er lagret.

     

9. mars 2017

Skybaserte systemer er fremtiden. Det er det nesten ingen som forsøker å argumentere mot lenger. For IT og HR har det mange fordeler, ikke minst at de ikke trenger å tenke på installasjoner og oppgraderinger ved innkjøp av HR-systemer.

Til gjengjeld er det viktig å gjøre noen reflekterte tanker rundt hvor leverandøren fysisk lagrer sensitive personopplysninger du mater inn i systemet.

Mange tror det er ulovlig å lagre personopplysninger på servere utenfor Norge. Det er ikke riktig. I personopplysningslovens §29 er det presisert at personopplysninger kan overføres til stater som sikrer en forsvarlig behandling av opplysningene, og at alle land som har gjennomført EU-direktiv 95/46/EF oppfyller dette kravet.

I praksis betyr det at det er lov å lagre personopplysninger på servere i alle EU/EØS-land, i tillegg til land som USA, Canada, Sveits, Australia og en del flere.

Lagres i Halden

Når du skal investere i et HR-system må du altså være bevisst på hvilke land dine data fysisk befinner deg i. Kjøper du et system som lagrer personopplysninger i et land som ikke har gjennomført EU-direktivet, har du brutt norsk personvernlovgivning.

I Infotjenester lagrer vi alle kundenes data på servere i Halden. Vi bruker også Microsoft Azure til vår integrasjonsplattform, men lagrer ikke kundenes data permanent på Microsoft sine servere.

For å være helt trygge på at våre kunders data er beskyttet, gjennomfører vi i tillegg øvelser hvor vi trener på å håndtere ekstreme situasjoner, som for eksempel brann eller annen alvorlig skade hos våre driftsoperatører. Heldigvis har vi aldri opplevd dette i virkeligheten.

Lagres i separate databaser

Like viktig som hvor dataene ligger fysisk, er hvordan dataene er lagret på serverne. Det er forskjell i sikkerheten på å lagre alle kundenes data i en felles database, og på å lagre dem i hver sin separate database.

Selskaper som blander alle kunders data i en felles database har større risiko for at sensitiv informasjon kommer på avveie på bakgrunn av feil i en enkelt kodelinje fra en programmerer.

Det ligger en del kostnader for leverandøren av HR-systemet i å holde seg med tusenvis av fysiske databaser i stedet for én, men gevinsten på sikkerheten er stor. Når du skal vurdere å kjøpe en HR-løsning, bør du alltid spørre leverandøren om hvordan de lagrer dine data.

Husk at du som kunde er prisgitt det sikkerhetsnivået leverandøren holder.

Hvem har tilgang til å hente ut data?

Et tredje viktig spørsmål du må stille en aktuell leverandør av HR-software er hvor mange hos leverandøren som på en enkel måte kan tilegne seg dine data. Hva slags beskyttelse har du som kunde for at det ikke skjer?

Du bør ikke velge en leverandør av HR-system som ikke har sikret seg mot seg selv.

I Infotjenester har vi valgt å sikre oss ved at kunden aktivt må slippe oss inn dersom de for eksempel trenger hjelp fra vårt kundesenter. Det skjer i praksis ved at kunden taster inn en kode i sitt system for å slippe oss som leverandør inn for en gitt periode. Når denne perioden er over har vi ikke lenger tilgang.

Dersom kunder skulle trenge hjelp og administratoren er syk, har sluttet eller er død, må minimum to personer hos oss som leverandør gi en godkjennelse for å sikre tilgang.

Les mer om HRM-system fra Infotjenester



Flemming Ottosen
Skrevet av:

Flemming Ottosen

Flemming Ottosen er teknisk direktør og leder for Infotjenesters utviklings- og forvaltningsavdeling. Han har vært i Infotjenester siden 1995 og jobber med produktutvikling og strategisk IT.