Onboarding och offboarding
Rutiner för onboarding och offboarding
Det kan vara bra för företag att upprätta rutiner för onboarding och offboarding av medarbetare.
Vad är rutiner för onboarding och offboarding?
Rutiner för onboarding och offboarding handlar om att ha rutiner som beskriver behörigheter och saker att tänka inför nyanställningar och när medarbetare slutar. Dessutom brukar rutinerna inkludera information om vilken utrustning de anställda får vid anställningens start samt krav på att dessa ska lämnas tillbaka.
Alla på företaget behöver oftast inte åtkomst till samtliga personuppgifter
Bara för att ett företag behandlar vissa personuppgifter, innebär det inte att alla på företaget ska få åtkomst till dem. Det är viktigt att analysera vem som behöver åtkomst till vilka personuppgifter för att kunna sköta sina arbetsuppgifter. Exempelvis brukar en ekonomiansvarig få tillgång till fler personuppgifter än andra medarbetare. Såsom information om alla medarbetares anmälda sjukfrånvaro, för att kunna betala och redovisa korrekt lön.
Måste företag ha rutiner?
Det finns inget direkt krav som uttryckligen reglerar detta som ett krav i GDPR. Men enligt principen om ansvarsskyldighet i artikel 5(2) i GDPR måste företag kunna visa att de följer regelverket. Det kan styrkas genom att företaget har skapat och implementerat skriftliga rutiner. Om företaget inte har gjort detta, ökar risken avsevärt för att företaget kommer att bryta mot GDPR. Exempelvis om företaget mottar en begäran från en registrerad om att få en rättighet tillgodosedd, och medarbetarna inte vet hur eller när de ska besvara i enlighet med GDPR. Rutiner skapar struktur och kan både effektivisera GDPR-arbetet samt hjälpa företaget att följa reglerna i förordningen.
Komplettera skriftliga rutiner med muntlig information
Det är självklart bra med skriftliga rutiner och skriftlig information till medarbetarna vid on- och offboarding. Däremot är det ännu bättre om det även kompletteras med muntlig information. Med andra ord, att personalen blir informerad om vad som gäller muntligen, för att ytterligare säkerställa att de känner till rutinerna och applicerar dem i praktiken.
Onboarding: När nya medarbetare välkomnas och skolas in
Onboarding handlar om att välkomna och skola in nya medarbetare i arbetet. Det utgör en viktig intern rutin inom ett företag. Vidare är det bra att inkludera information om GDPR i rutinen, eftersom det finns en risk att GDPR inte efterföljs annars. De flesta arbetstagare arbetar nämligen oftast med någon form av personuppgiftsbehandling som ett led i sina arbetsuppgifter.
Vad är bra för en onboarding-rutin att innehålla?
Roll- och behovsanalys
Det är viktigt att först genomföra en behovsanalys, för att ta reda på vem som behöver få tillgång till vilka personuppgifter, system osv. Det är bra att ha detta dokumenterat, så att det blir enklare att veta vad de nya medarbetarna behöver.
Skapa konton
Nya medarbetare behöver ofta åtkomst till företagets olika IT-system och digitala verktyg för att kunna sköta sina arbetsuppgifter. Exempelvis kan de behöva en arbetsrelaterad e-postadress och ett inlogg till CRM-systemet. Det är bra att informera om reglerna kring dessa konton.
Utrustning
Det är vanligt att medarbetarna behöver någon form av utrustning för att kunna sköta sina arbetsuppgifter. Därför är det bra att ha en checklista i rutinerna för att inte glömma något och veta vad alla medarbetare har fått. Till exempel arbetsdator, arbetsmobil, passerkort, inlogg till olika system m.m.
Utbildning
Det är alltid bra att ge nya medarbetare lämplig utbildning, inklusive om GDPR, när de börjar arbeta. Detta bidrar till att de sköter sina arbetsuppgifter i enlighet med interna instruktioner och gällande lagstiftning.
Säkerhetsrutiner
Introducera nya medarbetare till säkerhetsrutinerna genom att visa hur allting fungerar praktiskt. Exempelvis hur de ska skydda sin arbetsstation i praktiken, saker att tänka på vid arbete i öppna miljöer, hantering av lösenord, rapportering vid misstänkta personuppgiftsincidenter m.m.
Offboarding: Vad som ska ske när medarbetare slutar
Det är viktigt att inte glömma att reglera vad som händer när en medarbetare slutar att arbeta på företaget. Exempelvis när personens åtkomst till system ska återkallas och vilken utrustning denne ska återlämna, samt när och hur det ska ske på ett säkert sätt.
Innehåll som kan vara bra att reglera i en onboarding-rutin
Behörighetsstyrning
Det är viktigt att avsluta personens åtkomst till företagets IT-system, digitala verktyg etc. omedelbart i samband med att personens anställning upphör. Därför är det bra att reglera detta i en onboarding-rutin, då det kan vara enkelt att missa viktiga åtgärder annars. Exempelvis stänga av åtkomsten till e-postkonton, avsluta behörigheten till interna system (såsom molntjänster) eller grupper för intern kommunikation och liknande.
Återlämning
Se till att det står vad som ska återlämnas till företaget. Till exempel utrustning såsom arbetsdator och telefon, vem som ska motta, kontrollera och rensa de återlämnade enheterna m.m.
Checklista för dokumentation
Det är bra att ha en checklista för att dokumentera de viktiga stegen i offboardingsprocessen. Det minskar risken för att något glöms. Exempelvis bör den medarbetaren som är ansvarig för offboardingsprocessen kryssar rutor i takt med att aktiviteter som ska genomföras när en person slutar blir fullgjort.
Mer info
Rutiner för delning av data internt
Det är vanligt för medarbetare inom verksamheten att dela personuppgifter internt mellan varandra, och därför är det bra att ha rutiner för detta. Dessutom sker många av de interna delningarna snabbt och under tidspress, vilket kan leda till enkla misstag. Genom att ha skriftliga rutiner, kan företag hjälpa till att förebygga misstag och felaktig personuppgiftsbehandling. Observera att det är bra att reglera muntlig delning av personuppgifter också. Exempelvis att medarbetare inte ska prata om något känsligt eller nämna personuppgifter i offentliga miljöer där obehöriga personer kan höra informationen.