INDSTIGNING OG UDSTIGNING
Onboarding- og offboardingprocedurer
Det kan være nyttigt for virksomhederne at indføre procedurer for medarbejdernes onboarding og offboarding.
Hvad er onboarding- og offboardingprocedurer?
Onboarding- og offboardingprocedurer handler om at have procedurer, der beskriver kompetencer og ting, der skal overvejes før ansættelse, og når medarbejdere forlader virksomheden. Desuden omfatter procedurerne normalt oplysninger om det udstyr, der stilles til rådighed for de ansatte ved ansættelsesforholdets begyndelse, og krav til deres tilbagevenden.
I de fleste tilfælde er det ikke alle i virksomheden, der har brug for adgang til alle personoplysninger
Blot fordi en virksomhed behandler visse personoplysninger, betyder det ikke, at alle i virksomheden har adgang til dem. Det er vigtigt at analysere, hvem der har brug for adgang til hvilke personoplysninger for at kunne udføre deres opgaver. F.eks. har en finansmedarbejder normalt adgang til flere personoplysninger end andre ansatte. F.eks. oplysninger om alle ansattes anmeldte sygeorlov for at kunne betale og aflægge regnskab for den korrekte løn.
Skal virksomhederne have indført procedurer?
Der er ikke noget direkte krav, der udtrykkeligt regulerer dette som et krav i GDPR. I henhold til ansvarlighedsprincippet i artikel 5, stk. 2, i GDPR skal virksomheder imidlertid kunne påvise, at de overholder de lovgivningsmæssige rammer. Dette kan bevises ved, at virksomheden har oprettet og gennemført skriftlige procedurer. Hvis virksomheden ikke har gjort dette, øges risikoen for, at virksomheden overtræder GDPR, betydeligt. Hvis virksomheden f.eks. modtager en anmodning fra en registreret om at få anerkendt en rettighed, og de ansatte ikke ved, hvordan eller hvornår de skal svare i overensstemmelse med GDPR. Procedurerne skaber struktur og kan både forbedre effektiviteten af arbejdet med den generelle forordning om databeskyttelse og hjælpe virksomheden med at overholde de regler, der er fastsat i forordningen.
Supplere skriftlige procedurer med mundtlige oplysninger
Det er naturligvis godt at have skriftlige procedurer og skriftlige oplysninger til medarbejderne under on- og offboarding. På den anden side er det endnu bedre, hvis den også suppleres med mundtlige oplysninger. Med andre ord, at personalet informeres om, hvad der gælder mundtligt, for yderligere at sikre, at de er bekendt med procedurerne og anvender dem i praksis.
Onboarding: modtagelse og uddannelse af nyt personale
Onboarding handler om at byde nye medarbejdere velkommen og uddanne dem til at arbejde. Det er en vigtig intern procedure i en virksomhed. Desuden er det nyttigt at medtage oplysninger om GDPR i proceduren, da der ellers er risiko for manglende overholdelse af GDPR. Faktisk er de fleste arbejdstagere normalt involveret i en eller anden form for behandling af personoplysninger som led i deres opgaver.
Hvad er godt for en onboardingprocedure at indeholde?
Analyse af rolle og behov
Det er vigtigt først at foretage en behovsanalyse for at finde ud af, hvem der skal have adgang til hvilke personoplysninger, systemer osv. Det er godt at have dette dokumenteret, så det er lettere at vide, hvad de nye medarbejdere har brug for.
Opret regnskaber
Nye medarbejdere har ofte brug for adgang til virksomhedens forskellige IT-systemer og digitale værktøjer for at udføre deres opgaver. De kan f.eks. have brug for en arbejdsrelateret e-mailadresse og en log ind i CRM-systemet. Det er nyttigt at give oplysninger om reglerne for disse regnskaber.
Udstyr
Det er almindeligt, at ansatte kræver en eller anden form for udstyr for at udføre deres opgaver. Det er derfor nyttigt at have en tjekliste i procedurerne for ikke at glemme noget og vide, hvad alle medarbejdere har modtaget. F.eks. arbejdscomputer, arbejdsmobil, badge, adgang til forskellige systemer osv.
Uddannelse
Det er altid godt at give nye medarbejdere passende uddannelse, herunder i GDPR, når de begynder at arbejde. Dette hjælper dem med at udføre deres opgaver i overensstemmelse med interne instrukser og gældende lovgivning.
Sikkerhedsprocedurer
Indføre nyt personale i sikkerhedsprocedurerne ved at vise, hvordan alt fungerer i praksis. F.eks. hvordan man beskytter sin arbejdsstation i praksis, hvilke ting der skal tages i betragtning, når man arbejder i åbne miljøer, administrerer adgangskoder, indberetter formodede brud på persondatasikkerheden osv.
Offboarding: Hvad skal der gøres, når medarbejdere forlader virksomheden?
Det er vigtigt ikke at glemme at regulere, hvad der sker, når en medarbejder forlader virksomheden. F.eks. hvornår personens adgang til systemet skal inddrages, og hvilket udstyr vedkommende skal returnere, og hvornår og hvordan dette skal gøres sikkert.
Indhold, der kan være nyttigt at regulere i en onboardingprocedure
Kontrol af kompetence
Det er vigtigt at bringe personens adgang til virksomhedens IT-systemer, digitale værktøjer osv. til ophør straks ved ophøret af personens ansættelse. Det er derfor godt at regulere dette i en onboardingprocedure, da det ellers kan være let at gå glip af vigtige foranstaltninger. F.eks. suspendere adgangen til e-mailkonti, afbryde adgangen til interne systemer (såsom cloudtjenester) eller interne kommunikationsgrupper og lignende.
Retur
Sørg for, at det, der skal returneres til virksomheden, er angivet. F.eks. udstyr såsom en arbejdscomputer og telefon, som vil modtage, kontrollere og rengøre de returnerede enheder osv.
Tjekliste for dokumentation
Det er nyttigt at have en tjekliste til dokumentation af de vigtigste trin i offboardingprocessen. Dette mindsker risikoen for, at noget glemmes. Den medarbejder, der er ansvarlig for offboardingprocessen, bør f.eks. afkrydse felter, når de aktiviteter, der skal udføres ved afslutningen af en person, er afsluttet.
FLERE OPLYSNINGER
Procedurer for intern udveksling af data
Det er almindelig praksis, at medarbejderne i virksomheden udveksler personoplysninger internt, og det er derfor godt at have indført procedurer herfor. Desuden finder mange af de interne opdelinger sted hurtigt og under tidspres, hvilket kan føre til simple fejl. Ved at have skriftlige procedurer kan virksomhederne bidrage til at forebygge fejl og fejlbehandling af personoplysninger. Bemærk, at det også er nyttigt at regulere mundtlig udveksling af personoplysninger. Ansatte bør f.eks. ikke tale om følsomme oplysninger eller nævne personoplysninger i det offentlige rum, hvor uautoriserede personer kan høre oplysningerne.