GDPR innebär slutet för intern epost

När GDPR träder i kraft i maj 2018 kommer nya krav på arbetsgivare för säker hantering av personuppgifter internt. Detta innebär slutet för intern epost. Läs mer om varför du bör lämna epost och hur en enkel och kostnadseffektiv lösning ser ut.

Vad är GDPR?

GDPR är EU:s nya dataskyddsförordning. Den träder ikraft den 25:e maj 2018 och gäller alla företag som hanterar personliga uppgifter om EU-medborgare, t.ex. ett svenskt företags anställda. Syftet med den nya förordningen är att ge EU:s medborgare större kontroll och inflytande över deras personuppgifter och hur de hanteras av företag och arbetsgivare.

EU menar allvar med den nya förordningen och kommer genomföra uppföljning och revisioner. Man har tagit till rejält när det gäller bötesbelopp (upp till 20 M EUR eller 4% av företagets omsättning, beroende på vad som är högst).

En viktig aspekt i GDPR är att personuppgifter måste hanteras säkert.

Vad menas med personuppgifter?

I GDPR är personuppgifter allt från namn, adress, plats, online-id, hälsoinformation, inkomst, med mera.

Exempel på scenarion där personuppgifter kan förekomma inom intern företagskommunikation:

  • Ledarskapsuppföljning (underlag för medarbetarsamtal, rekryteringsunderlag, CV:n, lönesättningsunderlag, etc)
  • HR-diskussioner om personal (individrelaterad stöttning, etc)
  • Ekonomihantering (lönespecar, etc)

 

Observera att det enligt GDPR är särskilt viktigt att använda extra skydd för känsliga personuppgifter. Exempel på känsliga personuppgifter kan vara personlig information om en anställds privatliv och hälsa, t.ex. sådant som kan diskuteras mellan en anställd och närmsta chef eller HR-person.

 

För att lösa ett extra skydd för känsliga personuppgifter krävs både rätt verktyg och en kommunikationspolicy.

Slutet för intern epost

Hur är det då med epost egentligen, detta verktyg som alla älskar att hata? Är det säkert att skicka känsliga personuppgifter över epost, t.ex. som text i epostmeddelanden eller som bilagor? Svar NEJ! Det är rent osäkert att använda epost. Med epost går all text och alla bilagor i klartext över internet och är relativt lätt tillgängligt för hackers och andra illvilligt sinnade tekniker.

En attack kan alltså innebära att känsliga personuppgifter om ett företags anställda som förekommit i epostkommunikation läcks och publiceras på internet. Skadan kan bli katastrofal för såväl företag som medarbetare och med GDPR:s införande finns också hotet om mångmiljonböter.

När nu epost inte längre är en giltig lösning för utbyte av känsliga personuppgifter behövs ett säkert alternativ för intern företagskommunikation. Sådana alternativ har tidigare saknats till rimliga kostnader. Såväl företag som datainspektionen har tidigare därför sett mellan fingrarna rörande detta problem.

När GDPR införts kommer epost inte längre kunna användas för hantering av känsliga personuppgifter.

Företagschatt för säker hantering av känsliga PU

Företagschatt är en lösning som är på stark tillväxt just nu. Företagschatt har dessutom den fördelen att meddelanden och filer enkelt kan redigeras och tas bort i efterhand.
Med företagschatt sker kommunikation i kanaler. En kanal kan vara publik, privat, och 1-1. En kanal har ett namn som anger temat för det som ska diskuteras i kanalen. Detta innebär att information och diskussion hamnar på rätt ställe, jämfört med e-post där allt, oavsett ämne hamnar högst upp i mottagarens inkorg.

För att företagschatt ska fungera för hantering av personuppgifter krävs en etablerad kommunikationspolicy inom företaget.

Vikten av en kommunikationspolicy

Med äldre och ostrukturerade verktyg såsom e-post har det tidigare varit omöjligt att etablera en kommunikationspolicy för intern kommunikation. Med företagschatt öppnas denna möjlighet nu upp. Men vad menas egentligen med en kommunikationspolicy?

”En kommunikationspolicy är en etablerad överenskommelse om hur man kommunicerar i specifika sammanhang.”

Det är mycket viktigt att en kommunikationspolicy är etablerad och därmed väl förankrad hos företagsledning och HR. Policyn ska explicit ta upp speciellt viktiga sammanhang och tydliggöra hur kommunikation ska ske i dessa sammanhang. För att policyn ska leva och utvecklas bör det också finnas en ansvarig roll och person för policyn.

Vad det gäller hantering av kommunikation som berör personuppgifter och liknande känslig information rekommenderar vi följande policy:

I dialogen mellan medarbetare och chef har chefen ansvar för att diskussion och kommunikation kring personuppgifter sker i dedikerade privata chattkanaler. På detta sätt garanteras en tillräcklig nivå av säkerhet. Till policyn bör en namngivningsrutin för de dedikerade privata chattkanalerna etableras.

Policyexempel:

  1. Diskussion förs mellan medarbetare och chef och leder in på känsliga personuppgifter
  2. Medverkande chef inser att diskussionen nu berör känsliga personuppgifter
  3. Chefen skapar ny privat kanal dedikerad till det aktuella ärendet
  4. Chefen bjuder in medarbetaren till den nyskapade kanalen
  5. Diskussionen flyttas till kanalen och fortsätter där

 

I dialog mellan medarbetare och HR-person har HR-personen samma ansvar som chefen.

En rimlig rollfördelning är att HR-chefen ansvarar för att policyn etableras, sprids, och tillämpas. IT-chefen ansvarar för att företagschattlösningen finns och driftas.

GDPR-säkra er interna kommunikation med företagschatt och tillhörande kommunikationspolicy.

Mer information

Se följande källor för mer information om GDPR.

Mer att läsa om företagschatt:

More in #

Företagschatt – en introduktion

Read more

More in #

Företagschatt – vad är fördelarna?

Read more

Try it for free with your team!

Once you have tried Briteback, you’ll never want to go back. That’s why we let you try our product for free – with no further demands or hidden costs.

Get started in minutes, just sign up with your e-mail.


Sign up for a free 30-day trial – no hidden costs or demands.