Publisert:
10.7.2024
Sist endret:
10.7.2024
Forfatter:
Hanna Eid

Slik sikres personvernet i lønnssystemet Payroll

Personopplysninger er sensitive data. Systemleverandøren din skal sørge for personvernet.

Visma Software jobber tett med Skatteetaten og andre instanser for å fortløpende oppdatere lønnssystemet Payroll i henhold til Norges lover og regler. Vi har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk. Blant annet, personvernlovgivning.

GDPR-regler i det norske lønnssystemet, Payroll

Kort oppsummert oppfyller lønnssystemet Payroll GDPRs (The General Data Protection Regulation) krav om:

  • Tilgangskontroll som sørger for at informasjonen kun er tilgjengelig for de som har rettigheter til å lese eller endre den.
  • Integritetskontroll som sikrer sikker lagring av elektronisk journal.
  • Både kunne sikre og gjenopprette dataenes tilgjengelighet.
  • Payroll krever heller ikke mer persondata enn nødvendig for å utføre en prosess. Det er for eksempel ikke nødvendig å vise en ansatts personnummer for at en leder skal kunne godkjenne et utlegg eller en timeliste.

Så hva ligger i disse punktene?

Du kan rollestyre tilgang på data i lønnssystemet

Med rollestyringen i Payroll setter du enkelt opp hvem som har tilgang til hva. Først definerer du hvem som skal ha administratortilgang. Dette er en overordnet tilgang, som igjen kan styre hvilke brukere som skal ha tilgang til hva. 

Deretter kan du gi enkelte brukere tilgang til hvert enkelt selskap. Dette kan for eksempel være administrator for selskapet, leder eller ansatte. Hvilke data disse brukerne får tilgang til, er forhåndsdefinert i systemet og registrert for å ivareta GDPRs regler. 

Les mer: Fire fordeler med det skybaserte lønnssystemet Payroll.

Lønnssystemets HR-funksjon gir deg flere detaljstyrte muligheter

HR-funksjonen har enda mer detaljert tilgangsstyring, fordi det ofte er et ønske om å kunne styre hvem som skal ha tilgang til hva, basert på selskapets preferanser. 

Her kan du som administrator for eksempel definere hvilke opplysninger en ansatt skal kunne se og endre om seg selv, og hvilken informasjon de skal kunne se om sine kollegaer. Alt i tråd med GDPRs regler. Hvis du velger å gjøre endringer her, må du huske på å ta bevisst stilling til hvem som får tilgang på hva, og hvordan konfigurasjonene settes opp med tanke på avdelingsstruktur. Det er viktig for å unngå uønsket innsyn.

Les mer: Fem grunner til hvorfor skybasert HR-sytem er viktig.

Payroll krever kun den aller nødvendigste informasjonen

Når du legger inn opplysninger om de ansatte i lønnssystemet, er det kun påkrevd å fylle inn de feltene som er helt nødvendige for å kunne kjøre lønn, og for å kunne rapportere riktig til myndighetene. Du finner flere felter som kan fylles ut hvis bedriften din synes det er hensiktsmessig, men disse feltene er ikke påkrevd.

Dersom du har koblet ansatte til en bestemt leder i systemet, vil den aktuelle lederen kun se informasjon om sine ansatte. I tillegg vil lederne kun se data som er relevant for oppgaven som de skal løse. Endrer du leder på en medarbeider, mister den tidligere lederen tilgangen til informasjon om vedkommende.

Systemleverandørens sikkerhetsansvar

Datasikkerhet dreier seg gjerne om tre grunnleggende elementer. Dataenes konfidensialitet, integritet og tilgjengelighet.

Les mer: Sjekkliste IT-sikkerhet: Krav og spørsmål du bør stille til systemleverandøren din.

I et nettbasert lønnssystem som Payroll, er det meste av dette ansvaret overlatt til oss som er systemleverandør. I Visma Softwares sikkerhetsprogram, som er sertifisert i henhold til ISO 27001 standarden, har vi systemer, prosesser og verktøy som reduserer risiko for brudd på de tre elementene.

Dette er en del av hele utviklingen og operasjonen av Payroll. Vi bruker avanserte datasentre, og flere automatiserte verktøy for å kvalitetssikre programkoden, både under utviklingen og i drift. Skytjenesten overvåkes konstant for å fange opp avvik. Brannmurer, antivirus, sikrede nettverk og vern mot tjenestenektangrep er en selvfølge. I tillegg oppdateres Payroll og underliggende infrastruktur fortløpende med sikkerhetsoppdateringer. 

Automatisert backup på flere nivåer sørger for at data og systemer kan gjenopprettes i løpet av kort tid, hvis det skjer en form for avvik.

Hva er ditt ansvar?

Det er bedriftens eget ansvar å sørge for administrasjon av brukertilganger, og sørge for at riktig data legges inn i systemet. Det er også bedriftens ansvar å holde oversikt over hvilke persondata du behandler i systemet. 

Les mer: Sjekkliste IT-sikkerhet: Dette kan du som bedriftsleder gjøre i bedriften din.

Du kan lese mer om vårt sikkerhetsprogram på Visma Trust Centre her, eller ta kontakt med oss for en sikkerhetsprat. Ta gjerne kontakt med vår sikkerhetssjef, Stian Estil på e-post stian.estil@visma.com.