<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=129294691104950&amp;ev=PageView&amp;noscript=1">

Att förstå och kolla säkerheten för ditt rekryteringssystem i och med GDPR

GDPR tågar allt närmare, och det märks att oron sprider sig allt mer. Det finns inte en yrkesverksam rekryterare eller HR-person som vi ha stött på som inte känner till den stundande regeländringen, men det finns fortfarande frågetecken. I tidigare blogginlägg har vi gått igenom förordningen och dess olika aspekter, den här gången ska vi istället rikta blicken mot det här med säkerhet och dataskydd.

I den här artikeln kollar vi på säkerhet och inbyggd dataskydd så att du kan utvärdera ditt rekryteringssystem

GDPR höjer kravet på säkerhet – bra att veta för att utvärdera leverantörer av rekryteringssystem

I och med GDPR, är det ett ökat krav på att ha adekvat säkerhetsnivå kring sin hantering av arbetssökandes personuppgifter. För många som nu för första gången funderar över en digital lösning, och som inte sitter på en mångårig erfarenhet som IT-expert, är det svårt att veta vad det här innebär. Vad ska jag fråga leverantörerna om för att vara säker på att de lever upp till en tillräcklig säkerhetsnivå?

Innan du drar in IT-avdelningen och ber dem fråga ut alla leverantörer av rekryteringssystem tänkte vi sammanfatta läget så att du själv kan göra en initial efterforskning. Såhär kan du tänka, och fråga systemleverantörer mer om, gällande dataskydd och säkerhet i rekryteringsverktyget.

 

Dataskydd, inbyggt och som standard

Det finns två centrala koncept kring dataskydd: att det ska vara inbyggt, och finnas som standard. Inbyggt dataskydd är funktioner och processer som finns på plats för att skydda kandidaters integritet. Det ser till att ni kan efterfölja GDPR och säkra att individernas rättigheter uppfylls, exempelvis att kunna ändra felaktiga personuppgifter och att ha rutiner för att gallra ansökningar så att de inte sparas på obestämd tid. Dataskydd som standard syftar till att inte behandla personuppgifter i onödan. Att se till att inte mer uppgifter än nödvändigt samlas in, visas eller behandlas. Några punkter som Datainspektionen nämner för att hantera detta är:

  • Åtkomstkontroll. Funktion för att ställa in behörigheter och göra så att inte alla användare har tillgång till all information.
  • Stöd för att lämna samtycke och koppla den till en integritetspolicy.
  • Loggning av händelser för att se ifall någon felaktigt har haft tillgång till delar av systemet.

Personuppgiftsincident ska kunna upptäckas

Om personuppgifter hamnat på villovägar, blivit förstörda, eller hamnat i fel händer har en så kallad personuppgiftsincident inträffat. Inträffar en sådan incident behöver de anmälas till Datainspektionen senast 72 timmar efter att det har hänt. Finns det en risk att de kandidater vars personuppgifter finns registrerade blivit påverkade av händelsen behöver de också bli informerade om vad som skett. 

Vad innebär detta? Jo, att varje organisation bör ha rutiner på plats för att kunna upptäcka om en incident har inträffat. I fallet hantera ansökningshandlingar i ett rekryteringssystem ska systemet självfallet ha tekniska lösningar för att minimera risken för att en incident inträffar, och önskvärt är att det finns någon typ av varningssystem som varslar om någon utomstående försöker få tillgång.

Säkerhet du kan förvänta dig av din systemleverantör

Säkerhet enligt personuppgiftslagen ger en bra utgångspunkt för att förstå sig på konceptet med teknisk säkerhet i rekryteringslösningen. För att förtydliga ytterligare, och komma med mer GDPR specifik kunskap samt information kopplat direkt till rekrytering, har vi delat upp säkerhetsaspekterna i tre områden.

(1) Hygienfaktorer, alltså grundläggande funktioner som ska finnas på plats, (2) organisatoriska aspekter av säkerhet och dataskydd du kan fråga leverantören om, samt (3) faktiska tekniska aspekter som i bör finnas i systemet.

1) Hygienfaktorer – grundläggande funktioner alla  leverantörer bör ha på plats

Ett par punkter som i sammanhanget är värda att nämna är grundläggande säkerhetsfunktioner varje leverantör bör ha på plats. De är alltså vad som på en minsta nivå ska vara på plats för att ha ett elementärt tekniskt skydd. 

  • Krypterad överföring. När du loggar in i systemet, en kandidat skickar in sin ansökan eller den rekryterande chefen arbetar i molnen är all data som skickas krypterad så att den inte går att läsa av.
  • Löpande säkerhetsuppdateringar. I princip finns det idag inget rekryteringssystem på marknaden som är lokalt installerade på en organisations egna servrar. Eftersom allt befinner sig i molnet ligger det även på leverantören att uppdatera drivrutiner, operatörssystem och andra program på sina servrar med senaste säkerhetsuppdateringarna.
  • Backuper av data. I händelse att någon råkar ut för en skadlig attack, eller att det av misstags förstörs information om kandidater i databasen behöver det finnas en möjlighet att kunna återställa data. Regelbundna säkerhetsbackuper är en grundförutsättning för att kunna återställa information och minska skadlig effekt.
  • Rensning av backuper. Att backuper inte sparas för evigt och rensas med jämna mellanrum är standard, och viktigt för att säkerställa att kandidaters personuppgifter inte finns kvar när de ska ha gallrats.
  • Servrar inom Europa, eller inom ramen för Privacy Shield Frameworks. GDPR har regler kring hur data för överföras mellan länder som inte ingår i EU/EES-området. Därför bör servrarna där rekryteringslösningen ligger, antingen finnas i Europa, eller nyttja servrar som omfattas av det så kallade Privacy Shield Frameworks som intygar att informationsöverföringen lever upp till GDPR:s krav.

2) Organisatoriska aspekter av säkerhet och dataskydd

En leverantör av rekryteringssystem och HR-lösningar är som bekant personuppgiftsbiträden till organisationen som bedriver själva rekryteringen. Det kan hända att anställda hos systemleverantören behöver ha tillgång till er data för att hjälpa till när ni behöver support. Därför finns det vissa organisatoriska aspekter av säkerheten som leverantören bör ha tänkt igenom:

  • Leverantören har intern utbildning för anställda som har tillgång till personuppgifter. De anställda bör veta om hur de får jobba med personuppgifter åt er räkning. Tänk på att det både gäller hur de hanterar information om användare i systemet som tillhör ert företag, och arbetssökande.
  • Det finns regler och processer för hur de ska hantera förfrågningar från kandidater och från användare. Det är viktigt att leverantören har ett konsekvent sätt de hanterar ärenden där exempelvis kandidater hör av sig för att få sina uppgifter raderade. Det ska även finnas en policy för hur de gör i situationer när någon från ditt företag hör av sig med förfrågning om att få ett konto eller byta lösenord.  
  • Att leverantören och dess anställda har en förståelse för GDPR. Du kan inte förvänta dig att varje person du kommer i kontakt med hos leverantören har specialistkunskaper på ämnet, men de bör känna till förordningen i grova drag och kunna peka dig till rätt källa för mer information vid frågor.

3) Tekniska funktioner och lösningar

Nu kommer vi till den punkt som de flesta nog är på jakt efter när de vill ha en enkel checklista att kunna jämföra rekryteringssystem. De faktiska tekniska funktionerna som gör att den som använder systemet lever upp till kravet på tillräcklig säkerhetsnivå.

Eftersom dataskyddsförordningen inte är skriven specifikt med rekrytering i åtanke finns det tyvärr ingen enkel rekommendation från Datainspektionen eller någon arbetsgrupp att plocka fram och hänvisa till. Men som du nog såg tidigare har vi ändå satt ihop en liten lista på några punkter som är bra att ha på plats.

De punkter du hittar nedan är några aspekter för att hålla en säker IT-miljö som tar hänsyn till kandidaten och användarnas rättigheter, som vi på ReachMee har identifierat i vårt egna arbete med regeluppfyllnad. Det kan användas som utgångspunkt för att se om dessa, eller liknande, funktioner finns på plats.

  • Inloggning, unika användare och behörighet
    • Unika användare. Varje person som är med och rekryterar till ert företag ska i systemet ha ett eget användarkonto. Det säkrar att den aktivitet som är kopplat till ett visst konto kan härledas till rätt person, möjliggör att begränsa åtkomsten av kandidaters information. Användarroller och unika inloggningar gäller även för systemleverantörens personal, exempelvis systemadministratörer, så att deras behandling av data är transparent. 
    • Behörighetsstyrning. Det går att styra roll och behörighet för varje enskild användare. En rekryterande chef bör rimligtvis inte ha tillgång till lika mycket kandidatuppgifter som rekryteraren, och en åtkomstkontroll hjälper till att minska behandling av kandidaters uppgifter.
    • SSO. Möjlighet att koppla på SSO (single sign-on)
    • Blockerad. Efter ett antal misslyckade inloggningsförsök på ett konto blir man blockerad från att fortsätta försöka. Minskar risken att otillbörliga får tillgång.
  • Larm och övervakning för att upptäcka dataintrång
    • Servrar och företagens databaser övervakas kontinuerligt. När något misstänkt sker, exempelvis stora mängder datortrafik från en osäker källa eller att en inaktiverad användare plötsligt loggar in går ett larm om misstänkt försök till dataintrång.
  • Loggning och spårbarhet
    • Inloggningshistorik. Det finns ett register över användare som fått tillträde till systemet och när de har loggat in. Underlättar spårbarhet.
    • Loggning över ändringar. Alla ändringar som sker loggas automatiskt. Det gör att det enkelt går att se om någon exempelvis har uppdaterar information om en kandidat, bytt status eller raderat information. Det går alltså att spåra vilken användare som har gjort vad, ifall någon råkar radera information eller gjort något med ont uppsåt.
  • Säker delning och hantering av dokument
    • Delning. Dela kandidater med någon som inte har ett användarkonto? Det går att bjuda in utvalda personer som då kan få tillfällig tillgång till en begränsad del av en kandidats profil. Självfallet spårbart och under en avgränsad tidsperiod utan möjlighet att ändra något i databasen.
    • Dokumenthantering. Än är det inget fara på taket att ladda ner CV eller andra dokument och intyg som kandidater har laddat upp och spara dem på datorn. När GDPR börjar gälla bör du istället kunna se dokumenten direkt i webbläsaren.
  • Dedikerad databas
    • Alla företag som använder rekryteringssystemet har sin egna, separata databas för kandidatuppgifter och inställningar. Det innebär att varje kunds databas är isolerad och inte direkt påverkas om exempelvis en annan organisation råkar ut för ett dataintrång.
    • Om kandidater skapar konton för sina ansökningar görs det lokalt hos varje enskild organisations databas. Med andra ord finns det inget som ligger och synkroniserar personuppgifter för kandidater eller ansökningshandlingar mellan organisationer. Detta minskar risken för att någon kan hacka sig in i en delad databas via en kandidats konto.

Med punkterna ovan, och tillsammand med de andra aspekterna vi tog upp tidigare i artikeln, har du förhoppningsvis lite bättre koll på funktioner och tekniska aspekter du kan använda för att utvärdera ett rekryteringssystem.

Mer om GDPR och rekryteringar

På vår blogg har vi tidigare avhandlat en rad aspekter av hur dataskyddsförordningen kommer att påverka rekryteringar. Dels finns tidigare artiklar att hitta samlade under kategorin GDPR, men vi har också samlat vår kunskap i en omfattande handbok.

Du kan ladda ner e-boken helt gratis genom att följa länken nedan. Vi hoppas att den kommer till användning! 

Ladda ner handbok för GDPR och rekryteringar

Viktigt! Den information som framgår här är vår tolkning av GDPR och hur det kommer att påverka rekryteringar och arbetet med personuppgifter. Informationen är inte juridisk rådgivning.

Publicerat 2018-03-15

Ämnen: HR, GDPR

Rekryteringsblogg

I ReachMees blogg hittar du allt du vill och behöver veta om rekrytering. Lär dig mer om allt ifrån karriärsidor till att attrahera kandidater, arbeta med employer branding och att lyckas med er jobbannonsering. Självfallet hittar du även information om rekryteringsprocessen, metoder för urval och att praktisk genomföra lyckade rekryteringar.

Prenumerera på vår blogg så får du varje vecka hem de senaste artiklarna direkt till din inkorg.

Prenumerera på bloggen

Populära artiklar

Ämnen

Se alla