Hvorfor bør du jobbe med GDPR ?
Se eksempel på CASE om personalinfo som blir borte i et snekkerfirma
Svært mange bedrifter har lagret gamle mailer og dokumenter som inneholder info om personalet.
Dette kan dreie seg om
- info fra ansatte i en mail om sin helsetilstand
- sykemelding
- ansettelsekontrakt som inneholder sensitiv informasjon
- gamle dokumenter med referat fra møter og fotrolige samtaler sammen med ansatte
MYE av denne informasjonen er det IKKE tillatt å lagre i henhold til GDPR reglene.
Ansatte skal være informert om hva du har lagret og det skal stemme iforhold til personvernerklæringen som firmaet har laget.
Firmaet har selvsagt fortsatt lov å lagre noe informasjon, men behovet skal avklares med tillitsvalgt eller andre i tilsvarende posisjon.
Opplysningene må lagres sikkert, og ofte kan dette dreie seg om en to trinns godkjenning for å få tilgang til slik informasjon.
For å være sikker må du gjennomføre en risikoanalyse sammen med kvalifisert IKT personell.
Analysen skal dokumenteres i GDPR logg og føres inn i
- risikoanalyseoversikten
- handlingsplanen skal oppdateres slik at ansvarlige MÅ sette en dato for nødvendige endringer
- internkontrollsystemet skal også loggføres at risikoanalysen er gjennomført, samt når ledelsen behandler informasjon videre og når tiltak gjennomføres
- hvis risikoanalysen avdekker avvik fra eksisterende system må det også rapporteres om avvik
Filmen under beskriver noen av utfordringene du kan komme opp i hvis du ikke har gjennomført en risikoanalyse av personalinformasjon.
Start arbeidet ved å gå igjennom våre temasider til abbonementer
eller send en mail til info@romerike.com
