Lever ditt företag upp till kraven i GDPR?

Dela

Dela på facebook
Dela på twitter
Dela på linkedin
Dela på email
Uppgifter om hälsa, sjukdom, hälsorisker och sjukdomshistorik ses alltid som känsliga personuppgifter och måste hanteras enligt GDPR. Samtidigt är detta uppgifter som en arbetsgivare kan behöva som en del i arbetsmiljöarbetet. Att ha ordning och reda på den här typen av uppgifter är därför ett krav, men något som många arbetsgivare i praktiken fortfarande inte lever upp till.

Vad är GDPR?

Dataskyddsförordningen, GDPR, innebär särskilda krav för insamling, lagring och behandling av personuppgifter. Det innebär bland annat att data som arbetsgivare hanterar om sina anställda måste lagras och hanteras ansvarsfullt. Personuppgifter ska inte kunna läcka (konfidentialitet), förvanskas eller förstöras (riktighet), och rätt information ska finnas tillgänglig för rätt personer, i rätt tid (tillgänglighet).

Hur följer arbetsgivare GDPR idag?

Sedan lagen trädde ikraft våren 2018 har det rapporterats om fall där personuppgifter om anställda har hanterats fel, och vissa företag har därför fått betala dryga sanktionsavgifter. Att hantera känsliga personuppgifter på ett säkert sätt är inte bara viktigt för den enskildes integritet, det är ett lagkrav och något som anställda kan förvänta sig av sin arbetsgivare.

Trots detta visar en undersökning som MedHelp gjort att endast en tredjedel av de 300 HR-chefer som tillfrågats säger att det egna företaget följer GDPR helt och hållet. I företag med under 200 anställda är säker hantering av personuppgifter särskilt svårt. I nära fyra av tio av dessa företag uppger HR-cheferna att data inte hanteras enligt GDPR.

– Att så många inte följer GDPR till fullo är anmärkningsvärt. Det är viktigt att komma ihåg det finns risker och konsekvenser förknippade med att inte hantera anställdas känsliga personuppgifter på ett korrekt sätt. Det är lika viktigt som allt annat och bör prioriteras av arbetsgivaren, säger Sabrine Boudraa, CISO/informationssäkerhetsansvarig på MedHelp.

Hur ska känsliga personuppgifter hanteras?

GDPR-lagen säger bland annat att bara den som behöver får ha tillgång till känsliga uppgifter och de ska raderas när de inte längre behövs. Att spara den här typen av uppgifter i olika dokument eller på olika platser som i mejl eller pärmar är riskabelt. Då krävs manuell hantering till exempel när en medarbetare får en ny chef som ska ha åtkomst till uppgifter eller när någon slutar och uppgifterna ska raderas.

– Har man inte ett systematiskt sätt att arbeta med personuppgifter så är risken att man tappar kontrollen vilket försvårar behandlingen, eftersom dessa uppgifter finns utspridda överallt. Med ett samlat och säkert system blir det enklare att följa GDPR eftersom uppgifter uppdateras eller raderas automatiskt vid behov, även åtkomsten till dessa uppgifter kan kontrolleras och hanteras på ett bättre sätt. Det arbetsgivarens ansvar att säkerställa att det valda systemet uppfyller säkerhets- och legala krav innan det hanterar personuppgifter, säger Sabrine Boudraa.

Brister i GDPR kan ge böter för företag

Sjukfrånvarorapportering och dokumentation av rehabiliteringsprocesser är exempel på processer där företag ofta inte uppfyller kraven enligt GDPR och brister i hanteringen av personuppgifter kan leda till dryga böter. Det är också viktigt att komma ihåg att det inte räcker att följa lagen utan den som är ansvarig för personuppgiftsbehandlingen måste också kunna visa hur man följer den.

– Att följa GDPR är extra svårt om man har bristfälliga system. Då krävs mer för att se till att det exempelvis finns kryptering och loggning, åtkomstkontroll för att säkerställa att endast behörig personal ska ha tillgång till uppgifterna och att dessa ska gallras när de inte längre behövs. Vi ser att många företag behöver stöd här. Det handlar om att följa lagen men främst om medarbetarnas integritet, säger Sabrine Boudraa.

GDPR:s grundprinciper

Innebär bland annat att arbetsgivaren som personuppgiftsansvarig

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika och berättigade ändamål
  • inte ska behandla fler personuppgifter än nödvändigt
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa hur ni lever upp till dataskyddsförordningen.

GDPR checklista: Hanterar ni känsliga personuppgifter på rätt sätt?

  • Varför ska ni behandla personuppgifter? Vad är ert syfte?
  • Vilken rättslig grund i dataskyddsförordningen stödjer ni er personuppgiftsbehandling på?
  • Behandlar ni bara de personuppgifter som ni behöver?
  • Skyddar ni personuppgifterna tillräckligt, genom till exempel tekniska säkerhetsåtgärder?
  • Har ni rutiner för att radera personuppgifter när de inte längre behövs?
  • Kan ni visa upp hur ni arbetar och följer reglerna? Genom till exempel dokumentation och interna riktlinjer?

Källor; Datainspektionen, MedHelp

Vill du få en bild av er sjukfrånvaro, vad den kostar och veta hur vi kan hjälpa er att sänka den?

    Är du redan kund och använder våra lösningar, klicka här.