Sichere Daten bei elektronischen Personalakten: Was müssen Sie beachten?

Wie Sie Ihre Unternehmensabläufe organisieren müssen

Nehmen Sie Datensicherheit und Datenschutz nicht auf die leichte Schulter, sondern verankern Sie sie im Unternehmen. Sensibilisieren Sie Ihre Mitarbeiter, schulen Sie sie und sorgen Sie dafür, dass nur bestimmte Mitarbeiter Zugang zu personenbezogenen Daten haben.

Ist das Prinzip der zentralen Ablage konsequent umgesetzt?
Eine elektronische Personalaktenlösung speichert elektronische Akten bereits revisionssicher an zentraler Stelle. Jetzt gilt es, das Prinzip der zentralen Ablage auch konsequent durchzuhalten.

Sind die Daten jederzeit wieder auffindbar?
Alle Daten müssen jederzeit auffindbar sein. Eine Vielzahl von HR-Systemen, eventuell noch über verschiedene Standorte verteilt, konterkariert solche Bemühungen.

Sind Benutzer der elektronischen Personalakte klar definiert und ist nur eine kleine Anzahl von Mitarbeitern für die Nutzungsrechte verantwortlich?
Sie müssen jederzeit wissen, welche Mitarbeiter Zugang zu den personenbezogenen Daten in Ihrem Unternehmen haben und diese Gruppe klar definieren. Mit zunehmenden Berechtigungen und Verantwortungen (Lesezugriff, Schreibzugriff, Administratorenrechte) muss diese Gruppe immer kleiner werden. Verankern Sie dieses Berechtigungskonzept in der Verfahrensdokumentation.

Sind Mitarbeiter für den sicheren Umgang mit Daten geschult und ist Datensicherheit in der Compliance verankert?
Datensicherheit kann ein leidiges Thema sein, wenn Sie es als eine unnötige Verpflichtung ansehen. Als Verantwortung und Teil der Unternehmenskultur wird es zur Selbstverständlichkeit.

Was Ihre Personalaktenlösung leisten muss

Neben den unternehmensinternen, organisatorischen Voraussetzungen gilt es auch technische Anforderungen hinsichtlich der Datensicherheit zu beachten.

Ist das Berechtigungssystem differenziert und individuell anpassbar?
Die Lösung sollte über ein dediziertes Rollen- und Berechtigungskonzept verfügen. Achten Sie außerdem darauf, dass Sie Rechte jederzeit individuell managen können.

Sind Zugriffe und Änderungen nachvollziehbar?
Wenn alle Bearbeitungsschritte und Änderungen an einem Dokument, inklusive des jeweiligen Bearbeiters, protokolliert sind, lassen sich Fehler und ihre Ursachen ebenso nachvollziehen wie Missbräuche. Dies erleichtert die anschließend notwendigen Korrekturen.

Bietet die Versionierung alle notwendigen Metadaten zur Dokumentenhistorie?
Die Versionierung ist die technische Grundlage für die Nachvollziehbarkeit. Entscheidend ist, dass alle Versionen der Dokumente gesichert werden und die Historie relevante Informationen wie Datum, Bearbeiter etc. enthält.

Woran Ihre IT denken muss

Technische Anforderungen gelten aber nicht nur für die Anwendung, sondern für die gesamte Unternehmens-IT.

Sorgen Sie für Verfügbarkeit
Ihre elektronischen Personalakten müssen Ihnen jederzeit mit einem Mausklick zur Verfügung stehen. Verfügbarkeit hängt aber auch von der Ausfallsicherheit Ihrer IT-Systeme ab. Achten Sie daher auf regelmäßige Wartung und sichere Archivierung.

Führen Sie regelmäßige Software-Updates durch?
Regelmäßige Updates schließen mögliche Sicherheitslücken in der Software und schützen damit das gesamte System.

Sind unternehmenskritische und sensible Daten verschlüsselt?
Eine elektronische Personalaktenlösung überträgt die Daten verschlüsselt an andere Systeme. Bei einer Cloud-Lösung z.B. mit einer 256-Bit-SSL-Verschlüsselung an ein sicheres Rechenzentrum. Stellen Sie sicher, dass auch angeschlossene Systeme verschlüsselt sind.

Sind Antivirenprogramme und Firewall überall installiert und auf dem neuesten Stand?
Rechenzentren sind in der Regel gut gegen Angriffe gesichert. Die Schwachstelle sind meist eher Unternehmenssysteme. Schützen Sie Ihre Client-Rechner vor Schadsoftware durch moderne, aktuelle Antivirenprogramme und Firewalls.