To år efter: GDPR tvinger HR til at opruste yderligere på sikkerheden

HR-branchen sidder på så følsomme data, at det kan have enorme konsekvenser, hvis de lækkes, siger compliance-rådgiver. HR-afdelinger bør passe særligt på ved outsourcing af sensitive dokumenter, viser flere sager. Ifølge en revisor samt en af Europas førende udbydere af HR-assessment-værktøjer, peger trenden mod at HR-afdelinger vælger leverandører, der bliver eksternt auditeret løbende.

Arbejdsgivere har nu haft to år til at leve op til EU’s persondataforordning (GDPR), siden den trådte i kraft 25. maj 2018. Hundredtusindvis af sager kører, og der har været bøderegn for flere hundrede millioner af euro.

Indenfor HR er det indtil videre primært læk af CV’er og persondata for egne ansatte, der har præget sagerne.

Det kom eksempelvis frem i april, at General Electric’s (GE) underleverandør Canon Business Process Services var skyld i at personlig information om GE’s nuværende og tidligere ansatte blev lækket – bl.a. CPR-numre, scanninger af fødselsattester, pas og kørekort m.m.

”Et læk af HR-data, som f.eks. kan være personlige informationer om ansatte og jobansøgere, kan nemt blive til det værste stormvejr en virksomhed nogensinde kommer til at opleve både i bøder og omdømme,” siger Bo Thygesen, partner & konsulent i ACI, der er en IT-rådgivningsvirksomhed, som arbejder med risikostyring og compliance.

Virksomheden har rådgivet Master International i forbindelse med at opnå den strengeste form for GDPR-compliance: En ISAE 3000 type 2, som er en årlig erklæring om, hvordan man beskytter persondata, med eksternt auditeret dokumentation for at man efterlever retningslinjerne med mange målinger gennem hele året – dvs. et bevis for at man overholder sine retningslinjer for GDPR.

MHI Vestas: Compliance er blevet et must

MHI Vestas bruger Master Internationals partner i Danmark som underleverandør ved rekruttering, hvor blandt andet personlighedstests af ansøgere indgår.

”Det giver et hurtigt og godt billede af, hvem man sidder overfor, og skaber god basis for dialog,” siger Michael Storm, der er Head of recruitment i MHI Vestas Offshore Wind, der har +3500 ansatte og er en global spiller inden for offshore vindenergi.

Hos MHI Vestas stod GDPR højt på agendaen i hele virksomheden i en periode på ca. 1,5 år op til og efter, at direktivet trådte i kraft i 2018.

”Alle afdelinger er jo påvirket, men HR har at gøre med en del personfølsomme data, som gør at GDPR-prioriteten ligger over gennemsnittet hos os,” siger Michael Storm.

”Det betyder, at det er et ‘must’ at leve op til GDPR, hvis man skal være underleverandør hos os. GDPR-erklæringer som ISAE 3000 gør det nemmere for os at vurdere det og har klart en positiv betydning. Er der den mindste tvivl, skal legal-afdelingen nok gøre opmærksom på det,” siger han.

Større virksomheder og den offentlige sektor kræver det

For at Master International kunne få erklæringen, har virksomheden brugt flere års forberedelse, herunder at der i det seneste år arbejdede tre ansatte flere timer hver uge på at opnå erklæringen. Det er en nødvendighed, fortæller CEO’en.

”Større virksomheder kræver garanti for sikker databehandling hos deres leverandører. Og vores kunder i den offentlige sektor har det sidste 1½-2 år helst set, at vi har en erklæring, der ikke bare påstår men beviser, at vi overholder GDPR. Da vi havde den lidt mildere type 1-erklæring, skulle vi svare på et hav af spørgsmål hver gang,” siger Jesper Broberg, CEO i Master International.

”Det gør vi for at vores kunder helt ro i maven om, hvorvidt de selv, gennem deres underleverandører, lever op til GDPR i deres HR-processer,” siger Jesper Broberg.

Inforevision: Flere vælger løbende auditeringer da markedet efterspørger det

Inforevision, der auditerede Master International, har oplevet stigende efterspørgsel siden maj 2018, og flere faktorer driver motivationen.

”Hvis du indsamler, behandler og opbevarer data på vegne af kunder, så oplever vi, at flere ønsker at få en ISAE 3000 type 2-erklæring. Selv de små virksomheder. De ser det som en konkurrencefordel, og deres kunder efterspørger det. Og så bliver de mindet om risikoen, hver gang de læser nyheder om datalæk og bøder. Så det er den vej, vi ser, det går hen,” siger John Richardt Søbjærg, Partner og statsautoriseret revisor.

FAKTA: Sådan foregik Master Internationals ISAE 3000 type-2-proces

IT-rådgivnings- og compliancevirksomheden ACI planlagde et forløb med ca. 48 målinger, som Master International skulle udføre gentagne gange i løbet af året. Nogle ugentligt, nogle månedligt, halvårligt og årligt. En måling kunne eksempelvis være at kontrollere, om Master Internationals automatiske slette-algoritme rent faktisk sletter de kandidater, de ikke længere må have oplysninger om.

Herefter udarbejdede Inforevision en arbejdsplan unikt tilpasset Master International med hvilken dokumentation, de ville se, og gennemgik den. Derefter sad de et par dage i virksomheden og stillede specifikke spørgsmål om emner, de ville se dokumentation for på stedet.

FAKTA: Hvad er en ISAE 3000 Type 2-erklæring

En “type 2”-erklæring er sværere at opnå end ”type 1”, og forskellen består primært i, at en type 1 indeholder et øjebliksbillede af designet og implementeringen af virksomhedens kontroller.

Ved en type 2 auditerer en ekstern revisor om kontrollerne har fungeret effektivt i en periode på typisk 12 måneder.

Om Master International A/S

Master International er en dansk virksomhed med global tilstedeværelse, der leverer en komplet suite af tests og online test- og analyseværktøjer for HR-funktionen til både rekruttering og udvikling af medarbejdere og ledelse.

Virksomheden er en af Europas førende udbyder af HR-assessment-værktøjer, især tests. Master International beskæftiger både psykologer og psykometrikere, eksperter i organisationsudvikling samt IT-specialister for at levere deres løsning, som er samlet under navnet “Metis”.

Virksomheden blev stiftet i 1985, har hovedkontor i Danmark, og er repræsenteret i 15 lande i 2020.