Hvordan behandler HR-systemet dine ansattopplysninger?

Når du kjøper HR-system er du som arbeidsgiver ansvarlig for hvordan leverandøren behandler opplysninger om dine ansatte, skriver Infotjenesters tekniske direktør i dette innlegget.

     

24. januar 2017

Et HR-system inneholder mange sensitive opplysninger om arbeidstakerne. Det kan dreie seg om alt fra informasjon om ansattes sykefravær og ferie til dokumenter som arbeidsavtaler og advarsler. Samtidig kan informasjon som ikke i seg selv er sensitiv være sensitiv i kombinasjon med andre opplysninger.

Når du som arbeidsgiver inngår en avtale med en leverandør av et HR-system, er det du som er ansvarlig for at informasjon om arbeidstakerne blir behandlet i henhold til det norske personvernregelverket.

Virksomheten sitt ansvar

I regelverket skilles det mellom behandlingsansvarlig, som er deg som arbeidsgiver, og databehandler, som i denne sammenhengen er leverandøren av HR-systemet.

Som behandlingsansvarlig har du ansvar for at alle personopplysninger behandles i tråd med personopplysningsloven, som blant annet innebærer at du ikke har lov til å innhente og behandle personopplysninger uten at det har et bestemt formål.

Husk at du som arbeidsgiver står ansvarlig hvis du inngår en avtale som gjør at sensitiv informasjon om arbeidstakerne blir brukt i strid med regelverket.

Minimumskrav i databehandleravtalen

For å sikre at opplysninger om arbeidstakerne behandles etter det norske regelverket, er det et krav at det inngås en databehandleravtale. Databehandleravtalen skal blant annet sørge for at rollene som behandlingsansvarlig og selskapet som er databehandler ikke blandes.

Det er viktig å forsikre seg om at systemleverandøren aldri forsyner seg av din virksomhet sine data uten ditt samtykke, anonymisert eller ikke. Du må også forsikre deg om at du velger en dataleverandør som forholder seg til databehandleravtaler som er i henhold til norsk regelverk.

Datatilsynet lister opp følgende minimumskrav til databehandleravtaler:

  • Angi formålet med behandlingen
  • Beskriv hvordan personopplysningene skal brukes
  • Bruk av underleverandør skal reguleres i avtalen
  • Ivareta den registrertes rettigheter
  • Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet

Databehandleravtalen må revideres

I tillegg til at det er et krav å ha en databehandleravtale med leverandøren, er det et krav at denne avtalen skal revideres jevnlig. Det stilles imidlertid ikke krav til hvordan eller hvor ofte databehandleravtalen revideres.

Som HR-sjef må du derfor ikke bare forsikre deg om at avtalen revideres, men også at kvaliteten på revisjonen er god.

Ofte vil du se at leverandører av HR-system bare gjør en egenrevisjon av den inngåtte databehandleravtalen. Enkelte lar kunden selv komme inn og revidere leverandøren. Det tryggeste for deg som kjøper er imidlertid når en uavhengig tredjepart står for revisjonen.

Følger internasjonal standard

I Infotjenester bruker vi et uavhengig revisjonsselskap til å revidere våre databehandleravtaler etter den internasjonale standarden ISAE 3402.

Det gjør vi for at våre kunder skal være sikre på at vi leverer etter de databehandleravtalene vi tilbyr.

Vi tilbyr to ulike nivåer på databehandleravtale; standard og utvidet. Med utvidet databehandleravtale får du også tilgang til revisjonsberetningen.

Strengere regler på trappene

Du bør også være klar over at det er et nytt og strengere regelverk på trappene. I april 2016 ble det vedtatt en ny EU-forordning om personvern som vil tre i kraft i mai 2018.

Etter det nye regelverket får alle databehandlere lovpålagt plikt til å

  • Sørge for informasjonssikkerhet
  • Varsle behandlingsansvarlig om avvik
  • Opprette eget personvernombud

Det nye regelverket presiserer også mye tydeligere nye krav til databehandleravtaler og dens underleverandører, kundens reservasjonsrett og sanksjoner ved brudd.

Faghjelp - Personvern i arbeidsforhold

Visste du at Infotjenester tilbyr et digitalt oppslagsverk om personvern i arbeidsforhold, hvor du også kan få faglig support fra våre jurister? Les mer



Flemming Ottosen
Skrevet av:

Flemming Ottosen

Flemming Ottosen er teknisk direktør og leder for Infotjenesters utviklings- og forvaltningsavdeling. Han har vært i Infotjenester siden 1995 og jobber med produktutvikling og strategisk IT.