GDPR tvingar nu HR att öka säkerheten

HR branschen behandlar persondata där det kan få enorma konsekvenser om det läcker, säger Compliance Advisor på MHI Vestas. Körkortsuppgifter, CV och anställdas personliga information har varit särskilt utsatt för dataläckor. Master International, en av Europas ledande aktörer av HR assessment verktyg är en av de första leverantörerna på sin marknad som arbetar mot att uppnå den striktaste complicance deklarationen. ”En leverantör måste leva upp till GDPR”, säger MHI Vestas.

Arbetsgivare i europa har nu haft två år på sig att leva upp till EU´s General Data Protection Legislation (GDPR) sedan det trädde i kraft 25 maj 2018. Tusentals fall prövas just nu och hundratals miljoner euro har betalats i viten.

I HR branschen är det främst läckor av CVn och anställdas persondata som har förekommit.

”Läckage av HR data, som personlig information om anställda och jobbsökanden, kan lätt bli den värsta katastrof ett företag någonsin kan uppleva, både i termer av viten och rykte”, säger Bo Tygesen, Partner och konsult på ACI, ett IT konsultbolag som jobbar med risk management och compliance.

Företaget har rådgivit Master International i samband med ackreditering av den striktaste GDPR complicande formen: ISAE 3000 typ 2 är en årlig deklaration om hur persondata skyddas, med externt dokumenterad revision för att säkerställa efterlevnad av riktlinjer med multipla mätpunkter över året – dvs bevis för efterlevnad av GDPR riktlinjer.

Stora företag och offentlig sektor kräver det

För att erhålla ISAE 3000 typ 2 deklarationen, har Master International spenderat flera år av förberedelser, vilket bland annat inkluderar årligt ISAE 3000 typ 1 godkännande för två år i rad samtidigt som tre anställda har jobbat flera timmar i veckan för att tilldelas ackrediteringen. Detta är en nödvändighet, säger företagets CEO Jesper Broberg.

”Stora företag kräver en garanti av en säker dataprocess från sina leverantörer. Våra kunder i offentlig miljö har, de senaste 1 ½-2 åren föredragit att vi har en deklaration som inte bara kravställer utan också bevisar att vi efterlever GDPR. ”När vi hade den mildare, typ 1 deklaratioen, var vi tvungna att besvara en uppsjö av frågor varje gång”, säger Jesper Broberg, CEO Master International.

Master International är en av de första leverantörerna av HR tester som tilldelas en ISAE typ 2 deklaration.

”Vi har valt att anskaffa ISAE 3000 typ 2, för att ge våra kunder ”peace of mind” i frågan huruvida de själva, vi sina underleverantörer lever upp till GDPR i sina HR processer” säger Jesper Broberg

MHI Vestas: Efterlevnad är ett måste

MHI Vestas använder Master Internationals partner i Damark för rekrytering vilket, bland mycket annat, inkluderar peronligheststester av sökanden.

”Det tillför en snabb och bra bild av vem du pratar med och skapar god bas för dialog”, säger Michael Storm, Head of Recruitment på MHI Vestas Offshore Wind som har 3500+ anställda och är en global spelare på Offshore vindendergi.

På MHI Vestas var GDPR högt upp på agendan genom hela företaget i ca 1,5 år både före och efter de nya GDPR direktiven infördes 2018.

”Alla avdelningar påverkas, men HR hanterar mycket känsliga persondata, vilket innebär att GDPR är över snittet hos oss”, säger Michael Storm

”Detta betyder att det är ett ´måste´att leva upp till GDPR om du skall vara underleverantör till oss. GDPR deklarationer såsom ISAE 3000, gör det enklare för oss att tillse det och det har tydligt en positiv påverkan. Om det finns några tveksamheter, kommer vår juridiska avdelning ta hand om det”, säger han

Inforevision: små företag prioriterar det också

Inforevision, som genomförde revisionen av Master Internationals ISAE 3000 typ 2, har erfarit ett ökat behov sedan maj 2018 och många faktorer driver motivationen för efterlevnad. ”om du samlar, processar och lagrar data å dina kunders vägnar har vi sett att fler företag önskar ISAE 3000 typ 2 deklaration. Även små företag. De ser det som en konkurrensfördel, och deras kunder kräver det. De påminns om risken varje gång de läser nyheterna om dataläckor och viten. ”Det är så här vi ser det i framtiden”, säger Richardt Søbjærg, auktoriserad revisor.

FAKTA: Hur Master Internationals ISAE 3000 typ 2-process genomfördes

IT-konsultföretaget ACI planerade en process med cirka 48 mätningar som Master International var ålagda att utföra upprepade gånger under året. Vissa utfördes varje vecka, andra varje månad, medan andra utfördes var sjätte månad och årligen. En mätning kan till exempel vara att kontrollera om Master Internationals automatiska raderingsalgoritm verkligen raderade de kandidater vars information de inte längre fick ha.

Därefter utarbetade Inforevision en arbetsplan som var unikt anpassad till Master International, med vilken dokumentation de ville se och granskade den. Sedan stannade de hos företaget i några dagar och ställde specifika frågor om ämnen som de skulle vilja se dokumentation för på plats.

FAKTA: Vad är en ISAE 3000 typ 2-deklaration?

En "typ 2" -deklaration är svårare att uppnå än en "typ 1", och skillnaden är främst att en typ 1 innehåller en ögonblicksbild av utformningen och implementeringen av företagets kontroller.

För en typ 2 granskar en extern revisor om kontrollerna har varit effektiva under en period av vanligtvis 12 månader.