·9 min·Applirank
datasikkerhetrekrutteringGDPRATSpersonverncompliance

Datasikkerhet i rekruttering: Krav og beste praksis

Datasikkerhet i rekruttering handler om mer enn å overholde GDPR-frister for sletting. Hver eneste søknad som kommer inn inneholder personopplysninger som må beskyttes mot uautorisert tilgang, lekkasjer og datainnbrudd — fra det øyeblikket kandidaten trykker «send» til dataene er slettet.

Ifølge NorSIS' rapportserie «Trusler og trender» er menneskelige feil blant de største sårbarhetene for norske virksomheter som rammes av dataangrep. Rekrutteringsdata er spesielt utsatt fordi det ofte behandles av mange personer på tvers av avdelinger — uten strukturerte sikkerhetstiltak.

Denne guiden dekker de tekniske og organisatoriske kravene til sikker behandling av søkerdata, fra kryptering og tilgangskontroll til valg av leverandør og håndtering av databrudd. For en bredere gjennomgang av personvernreglene som gjelder rekruttering, se vår komplette GDPR-guide for rekruttering.

Hvorfor er rekrutteringsdata et attraktivt mål?

Rekrutteringsdata samler en unik kombinasjon av personopplysninger på ett sted: fulle navn, adresser, telefonnumre, e-postadresser, arbeidshistorikk, utdanningsdetaljer og ofte også personnumre eller helseinformasjon. For en angriper er dette gullgruven — én enkelt database kan inneholde nok informasjon til identitetstyveri i stor skala.

Tre faktorer gjør rekrutteringsdata spesielt sårbart:

  • Bredt tilgangsbehov — rekrutteringsprosesser involverer HR, linjeledere, avdelingsledere og noen ganger eksterne rekrutteringsbyråer. Flere tilgangspunkter betyr større angrepsflate.
  • Høy gjennomstrømning — en mellomstor norsk bedrift kan motta tusenvis av søknader i løpet av et år. Store datamengder som flyter gjennom lite strukturerte kanaler øker risikoen for feilhåndtering.
  • Ustrukturerte lagringsmetoder — bedrifter som bruker e-post, delte mapper eller regneark har minimal sikkerhetskontroll over hvem som kan kopiere, videresende eller laste ned søkerdokumenter.

I et rekrutteringsverktøy med innebygd sikkerhet samles all søkerdata i én kontrollert plattform med innebygde sikkerhetstiltak — noe som drastisk reduserer angrepsflaten sammenlignet med spredt lagring.

Hvilke sikkerhetskrav stiller GDPR?

GDPR artikkel 32 krever at behandlingsansvarlige iverksetter egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen. I tillegg fastslår artikkel 5(1)(f) prinsippet om integritet og konfidensialitet — personopplysninger skal behandles slik at de er tilstrekkelig sikret.

Her er sammenhengen mellom GDPRs krav og praktisk rekruttering:

GDPR-kravArtikkelPraktisk tiltak i rekruttering
Egnet sikkerhetsnivåArt. 32(1)Kryptering av CV-lagring og sikker dataoverføring
Konfidensialitet og tilgjengelighetArt. 32(1)(b)Sikre systemer med rollebasert tilgang per stilling
Pseudonymisering og krypteringArt. 32(1)(a)Kryptert lagring og anonymiserte evalueringer der mulig
Regelmessig testingArt. 32(1)(d)Sikkerhetsrevisjoner av rekrutteringssystemet
GjenopprettingArt. 32(1)(c)Backup-rutiner for søkerdata
BruddvarslingArt. 33/34Deteksjonsrutiner og varslingsplan

Disse kravene gjelder uavhengig av om du bruker et ATS-system, regneark eller e-post. Forskjellen er at et dedikert system har disse tiltakene innebygd, mens e-postbasert rekruttering krever at du bygger opp hvert eneste sikkerhetstiltak manuelt.

Kryptering: Slik beskytter du søkerdata teknisk

Kryptering er det mest grunnleggende tekniske sikkerhetstiltaket for å beskytte persondata i rekrutteringen, og GDPR nevner det eksplisitt i artikkel 32(1)(a). I praksis handler det om to typer:

Kryptering under overføring (in transit)

Alle data som sendes mellom søkerens nettleser og rekrutteringssystemet skal krypteres med TLS 1.2 eller nyere. Dette forhindrer at noen kan avlytte søknadsdata under overføring. Sjekk at søknadsskjemaets URL starter med https:// — dette virker grunnleggende, men mange bedrifter bruker fortsatt usikrede skjemaløsninger.

Kryptering ved lagring (at rest)

CVer, søknadsbrev og andre dokumenter som lagres på server skal være kryptert med AES-256 eller tilsvarende standard. Dette beskytter dataene selv om en angriper skulle få fysisk tilgang til lagringsmediet eller databasen.

Hva med e-post?

Standard e-post (SMTP) er ikke ende-til-ende-kryptert. Når en søker sender CV på e-post, er veien fra avsender til mottaker potensielt lesbar for uvedkommende. E-postvedlegg lagres ukryptert i innboksen. For bedrifter som mottar jobbsøknader via e-post, er dette en betydelig sikkerhetsrisiko som er vanskelig å mitigere uten å endre hele prosessen.

Tilgangskontroll: Hvem bør se hva i rekrutteringen?

Prinsippet om minste privilegium betyr at hver bruker bare skal ha tilgang til de søkerdataene de trenger for sin rolle. I praksis ser mange bedrifter bort fra dette — alle i HR-avdelingen har tilgang til alle søknader, uavhengig av hvilken stilling de er involvert i.

En god tilgangsmodell for sikkerhet i rekrutteringsprosessen ser slik ut:

RolleTilgangsnivå
HR-lederAlle stillinger i egen organisasjon; administrasjon av brukere
RekruttererStillinger de er ansvarlige for; full søkervisning
Ansettende lederKun søkere til sine egne stillinger; begrenset til vurdering
Eksternt byråKun navngitte kandidater de har framskaffet

Et system for søknadshåndtering med rollebasert tilgangskontroll (RBAC) gjør dette automatisk. Når en stilling avsluttes, kan tilgangen til søkerdataene revokeres uten manuell opprydding.

Delt e-postinnboks: En åpen dør

Felles-innbokser som jobb@bedrift.no eller rekruttering@bedrift.no gir potensielt alle med innbokstilgang innsyn i samtlige søknader. Det finnes ingen måte å begrense tilgangen per stilling, og det er umulig å spore hvem som har åpnet hvilken søknad. Fra et sikkerhetsperspektiv er dette en av de største risikoene i norsk rekruttering — og den enkleste å eliminere.

💡 Visste du? Applirank leverer ferdig databehandleravtale og lagrer alle CVer kryptert med rollebasert tilgangskontroll — slik at sikkerheten er innebygd fra dag én. Prøv gratis →

Databehandleravtalen: Ditt viktigste verktøy ved valg av ATS

Når du bruker et eksternt rekrutteringssystem, behandler leverandøren personopplysninger på dine vegne. GDPR artikkel 28 krever en skriftlig databehandleravtale (DPA) som regulerer forholdet.

En databehandleravtale for rekruttering bør minimum dekke:

  1. Formål og varighet — at behandlingen gjelder søkerdata i forbindelse med rekruttering, og hvor lenge
  2. Type personopplysninger — spesifiser at det gjelder CVer, kontaktinformasjon, søknadsbrev og eventuelle evalueringer
  3. Sikkerhetstiltak — leverandørens konkrete tiltak for kryptering, tilgangskontroll og logging
  4. Underbehandlere — hvilke tredjeparter leverandøren bruker (skyplattform, e-postleverandør, AI-modeller) og at du skal varsles ved endringer
  5. Sletting og tilbakelevering — hva som skjer med data når avtalen opphører
  6. Bistand ved innsynsbegjæringer — leverandøren skal bistå deg når en søker krever innsyn eller sletting
  7. Bruddvarsling — leverandøren skal varsle deg uten ugrunnet opphold ved et sikkerhetsbrudd, slik at du kan overholde 72-timersfristen i GDPR

Ikke godta generiske standardavtaler uten å lese dem. Et seriøst ATS-system skal kunne presentere en konkret, oppdatert databehandleravtale som dekker alle disse punktene.

Hvor bør søkerdata lagres?

Lagringssted er et sikkerhets- og compliance-spørsmål. Etter Schrems II-dommen fra EU-domstolen (16. juli 2020) ble overføring av persondata til USA betydelig mer komplisert. Datatilsynet har publisert veiledning om kravene til overføring utenfor EØS.

Hovedprinsipper for lagring av søkerdata

  • Innenfor EØS er tryggest — lagring i Norge, Sverige, Finland eller andre EØS-land krever ingen tilleggsgrunnlag
  • Overføring utenfor EØS krever enten en adekvansbeslutning (som EU–US Data Privacy Framework) eller standard kontraktsklausuler (SCC) med tilhørende risikovurdering
  • Sjekk underbehandlere — selv om ATS-leverandøren er norsk, kan de bruke skyplattformer med datasentre utenfor EØS

Hva bør du spørre leverandøren om?

  • Hvor er datasentrene fysisk lokalisert?
  • Kan du velge EØS-basert lagring?
  • Hvilke underbehandlere brukes, og i hvilke land opererer de?
  • Foreligger det en oppdatert Transfer Impact Assessment (TIA)?

For norske bedrifter er det tryggeste valget en leverandør som lagrer data innenfor EØS og som kan dokumentere dette i databehandleravtalen.

Hva gjør du ved et databrudd med søkerdata?

Et sikkerhetshendelse som involverer søkerdata — uautorisert tilgang, utilsiktet deling eller et hackerangrep — utløser GDPR artikkel 33 og potensielt artikkel 34.

Varslingsfrister og krav

  • 72 timer — Datatilsynet skal varsles innen 72 timer etter at du ble kjent med bruddet, med mindre bruddet sannsynligvis ikke utgjør en risiko for de registrertes rettigheter
  • Uten ugrunnet opphold — hvis bruddet medfører høy risiko for søkernes rettigheter, skal også de berørte kandidatene varsles direkte
  • Dokumentasjonsplikt — alle sikkerhetsbrudd skal dokumenteres, uavhengig av om de varsles til Datatilsynet

Slik forbereder du deg

  1. Lag en beredskapsplan som spesifikt dekker rekrutteringsdata — hvem kontaktes, hvem har beslutningsmyndighet, og hvilke systemer skal isoleres
  2. Definer roller — én person bør ha ansvaret for personvernhendelser (typisk personvernombudet eller daglig leder i mindre bedrifter)
  3. Test planen — gjennomfør en årlig tabletop-øvelse med et scenario der søkerdata er kompromittert
  4. Sikre loggene — rekrutteringssystemet bør ha aktivitetslogger som viser hvem som har åpnet, lastet ned eller delt søkerdata

Et dedikert rekrutteringssystem med aktivitetslogg gjør etterforskningen langt enklere enn å forsøke å rekonstruere hendelsesforløpet fra e-postlogger.

Sikkerhet i praksis: Sjekkliste for norske bedrifter

Bruk denne sjekklisten til å vurdere sikkerhetsnivået i din rekrutteringsprosess:

  1. Kryptering — er søkerdata kryptert både under overføring (TLS) og ved lagring (AES-256)?
  2. Tilgangskontroll — har dere rollebasert tilgang som begrenser innsyn per stilling?
  3. Databehandleravtale — har dere en oppdatert DPA med ATS-leverandøren som dekker alle kravene i artikkel 28?
  4. Lagringssted — vet dere hvor søkerdataene fysisk lagres, og er det innenfor EØS?
  5. Sletterutiner — slettes søkerdata automatisk når lagringsperioden utløper? Se vår guide om slettefrister for jobbsøknader for konkrete oppbevaringsfrister og en ferdig sletterutine.
  6. Aktivitetslogg — kan dere spore hvem som har hatt tilgang til hvilke søkere?
  7. Beredskapsplan — har dere en plan for å håndtere og varsle om databrudd innen 72 timer?
  8. Passordpolicy — brukes sterk autentisering (minimum tofaktorautentisering) for tilgang til rekrutteringssystemet?
  9. Opplæring — har alle som behandler søkerdata fått opplæring i sikker datahåndtering?
  10. Underbehandlere — har dere oversikt over alle tredjeparter som behandler søkerdata på vegne av dere?

Bedrifter som scorer lavt på denne listen bør prioritere å flytte rekrutteringen over i et strukturert system med innebygd sikkerhet.

Kom i gang med sikker rekruttering

Datasikkerhet i rekruttering er ikke et engangstiltak — det krever riktig verktøy, gode rutiner og jevnlig oppfølging. De viktigste stegene er:

  • Erstatt e-postbasert rekruttering med et system som har innebygd kryptering og tilgangskontroll
  • Sørg for en oppdatert databehandleravtale med leverandøren
  • Etabler en beredskapsplan for sikkerhetsbrudd
  • Gi alle involverte opplæring i sikker behandling av søkerdata

Applirank er bygget med sikkerhet som grunnprinsipp: kryptert CV-lagring, rollebasert tilgangskontroll, EØS-basert infrastruktur og automatiske sletterutiner. Alt du trenger for å beskytte søkernes data — uten teknisk hodebry.

Prøv Applirank gratis →

Ofte stilte spørsmål

Hva er de viktigste sikkerhetskravene for et rekrutteringssystem?

Et rekrutteringssystem bør ha kryptering av data under overføring og ved lagring, rollebasert tilgangskontroll per stilling, aktivitetslogg for all tilgang til søkerdata, og automatiske sletterutiner. I tillegg bør leverandøren kunne levere en komplett databehandleravtale og dokumentere hvor dataene lagres.

Må søkerdata lagres i Norge?

Nei, søkerdata trenger ikke lagres i Norge, men det må lagres innenfor EØS — eller hos en leverandør som har et godkjent overføringsgrunnlag (som EU–US Data Privacy Framework eller standard kontraktsklausuler). Innenfor EØS kreves ingen tilleggsgrunnlag, noe som gjør det til det enkleste og tryggeste valget.

Hva skjer hvis det oppstår et databrudd med jobbsøkernes data?

Du plikter å varsle Datatilsynet innen 72 timer dersom bruddet utgjør en risiko for søkernes rettigheter. Ved høy risiko skal også de berørte kandidatene varsles direkte. Alle sikkerhetsbrudd skal dokumenteres, uavhengig av alvorlighetsgrad.

Er e-post sikkert nok for å motta jobbsøknader?

Standard e-post er ikke ende-til-ende-kryptert, og vedlegg lagres ukryptert i innboksen. Felles-innbokser gir ingen tilgangskontroll per stilling og ingen sporbarhet. For bedrifter som tar datasikkerhet og GDPR på alvor, er e-postbasert rekruttering en betydelig sikkerhetsrisiko. Et dedikert rekrutteringsverktøy med innebygd kryptering er det trygge alternativet.

Trenger jeg tofaktorautentisering for rekrutteringssystemet?

GDPR krever «egnede tekniske tiltak» uten å spesifisere konkret teknologi, men tofaktorautentisering (2FA) er i praksis en forventet minimumsstandard for systemer som behandler personopplysninger. Nasjonal sikkerhetsmyndighet (NSM) anbefaler flerfaktorautentisering for alle virksomheter, uavhengig av størrelse.

Kilder og videre lesning

Prøv Applirank gratis

Opplev AI-drevet rekruttering med Norges mest brukervennlige ATS-system. Kom i gang på under 5 minutter.

Kom i gang gratis
Tilbake til blogg

© 2026 Applirank. Alle rettigheter reservert.