Reflektioner om GDPR och arbetspsykologisk testning vid urval

Anders SjöbergUrvalsbeslutSkriv en kommentar

General Data Protection Regulation är en ny lag som gäller över hela EU från och med 2018-05-25. Översatt till svenska så betyder GDPR Dataskyddsförordningen.
I Sverige kommer GDPR att ersätta Personuppgiftslagen (PUL). Syftet med Dataskyddsförordningen är att enskilda ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett regelverk när de verkar i flera EU-länder. Detta är det få som lyckats undgå. Men hur förhåller sig GDPR till psykologisk testning inom urval. Nedan kommer mina tankegångar efter ha läst valda delar av GDPR.

Disclaimer. Innan Ni läser texten nedan ska sägas att jag har EJ läst hela GDPR och jag har ej någon juridisk skolning, så nedan ska läsas som mina egna personliga tolkningar avseende ett oerhört komplicerat område.

Arbetspsykologisk testning och GDPR

Idag används ofta psykologisk testning av personlighet och intelligens i urvalsprocesser. Det vanligaste förfarandet är att testningen resulterar i poäng som tolkas av bedömaren, ofta samma person som har administrerat testet. Testpoängen fungerar som en profilering av testkandidatens personlighet och intelligens. Forskning har visat att vissa profiler sannolikt presterar bättre i jämförelse med andra, men detta struntar de flesta i utan tolkningen sker utifrån en tänkt kravprofil som sällan eller aldrig validerats.

Min tolkning av GDPR är att, oberoende om man håller sig till forskning eller tolkar efter eget huvud handlar det om profilering och mer eller mindre automatiskt beslutsfattande. Vad säger då GDPR:

Profiling and automated decision-making can be useful for individuals and organisations as well as for the economy and society as a whole, delivering benefits such as: increased efficiencies; and resource savings.

Inom psykologisk standardiserad testning har detta under 100 år varit ett tungt vägande skäl att använda test, den standardiserade modellen att alla poängsätts på samma sätt resulterar i både träffsäkra och valida beslutsunderlag, gott så långt.

Profilering och automatiskt beslutsfattande vi urval

GDPR tar aldrig (vad jag sett) upp psykologisk testning som exempel men mycket av som definieras kan enkelt transporteras till vad som händer i urvalssammanhang. Men innan vi går vidare bör begreppen profilering och automatiskt beslutsfattande definieras.

Profiling is composed of three elements:
it has to be an automated form of processing;
it has to be carried out on personal data; and
the objective of the profiling must be to evaluate personal aspects about a natural person.

Det finns tre olika beståndsdelar i profilering; datainsamling, automatiserad poängsättning samt analys för att förutsäga nuvarande eller senare beteenden.

Detta utgör själva grunden till att använda test för urval, dvs samla data från individen, poängsättning och tolkning av resultat.

Automatiserat beslutsfattande definieras som:

Automated decision-making is the ability to make decisions by technological means without human involvement.

Nu blir det lite besvärligare att orientera sig i förhållande till psykologisk testning. Jag menar när är beslutsfattande ”without human involvement”? I inledningen av artikel 29 (GDPR) nämns saker som Artificiell Intelligens och Machine Learning, men utan att definieras. Jag tolkar ”without human involvement” som att lagstiftaren menar att algoritmen själv fattar beslut, vilket sällan eller aldrig är fallet i psykologisk testning som används i urvalsprocessen. Jag menar även om testresultat automatiserat poängsätts så är det en människa inblandad, jag menar denna poängsättning har ju konstruerats av en människa.

Ur kandidatens perspektiv

Men låt då säga att psykologisk testning kan anses som ett underlag till automatisk beslutsfattande i en urvalssituation, vad säger då GDPR om automatisk beslutsfattande ur synvinkeln från den som blir bedömd:

The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

Vad som menas med ”legal effects concerning him or her or similarly significantly affects him or her” är för mig oklart men en process bedöms EJ som fullständigt automatiserat om en person på något sätt är inblandad i beslutsfattande. Som exempel ges i artikel 29 detta:

An automated process produces what is in effect a recommendation concerning a data subject. If a human being reviews and takes account of other factors in making the final decision, that decision would not be ‘based solely’ on automated processing.

I urvalsprocesser händer det aldrig att processen är fullständigt automatiserad då urvalsbeslutet måste rent lagligt tas av en person, dvs företrädare för arbetsgivaren i fråga som vill anställa kandidaten. Men naturligtvis är det en tolkningsfråga, tex om det sker en automatisk poängsättning av psykologiska test och att dessa poäng sedan vägs ihop med en algoritm, som sedan fungerar som beslutsunderlag, är inte detta fullständig automatiserat? Mitt svar är NEJ, det är fortfarande människor inblandade i poängsättningen, det är en människa inblandad som konstruerat algoritmen. Däremot ställer jag mig tveksam till om data samlas in av en dator genom att samla data automatiskt från  tex facebook, en algoritm används för att analysera data och ett beslut genereras av algoritmen.

En intressant tanke är att det finns en möjlighet att ha en fullständig automatiserad process där en algoritm väger ihop information som en dator samlat in och i slutändan slänger man in en människa som tar ett annat beslut (rätt eller fel spelar ingen roll i GDPR) då är ”decision not ‘based solely’ on automated processing”.
Ett annat scenario är att den psykologiska testningen är fullständigt automatiserat, men en människa slänger in en intervjupoäng i algoritmen, då bör inte heller denna process vara ”‘based solely’ on automated processing”.

Men som sagt det lär bli en tolkningsfråga.

Hur kan man säkra upp att GDPR följs som ansvarig för en urvalsprocess?

Informera kandidaten att en automatisk process med profilering kommer att äga rum (alltifrån CV granskningen till urvalsbeslutet). Informera kandidaten på ett meningsfullt sätt hur denna process går till, vilken logik som ligger bakom profileringen och det automatiserade beslutet och förklara vilka konsekvenser denna process har för kandidaten (ev fördelar och nackdelar)

GDPR och ISO10667

Kort och gått, var tydlig  vad som kommer att hända i urvalsprocessen. Där kan Ni ta utgångspunkt i ISO 10667, bedömningstjänster i arbetslivet som säger bla detta om vad den som är ansvarig för urvalsprocessen ska tänka på.

  • Personer med ansvar för analys och tolkning av resultaten bör:
  • ange typ av metod för att kombinera uppgifterna samt ge en tydlig logisk grund för eventuella slutledningar och beslut beträffande kombination och tolkning av dessa uppgifter, samt bevis till stöd för dem,
  • använda dig av rutiner för att systematiskt undersöka bedömningsresultaten i syfte att identifiera osannolika eller orimliga tolkningar, poängklassificering, t.ex. datautredningsarbete samt identifiera osannolika poängvärden
  • tillhandahåll tolkningar som överensstämmer med tillgängliga uppgifter om bedömningsmetoden såsom den har dokumenterats i tekniska manualer samt övrig vetenskaplig litteratur,.

(OBS detta skrevs 7 år innan GDPR).

Avslutande kommentar

Jag är positivt inställd till GDPR, äntligen måste tolkning av data och poängsättning av psykologiska test diskuteras inom urval och rekrytering. De företag som är öppna och transparenta hur bedömningsmetoder kommer att användas är vinnare, förlorare är de företag som säger sig använda artificiell intelligens etc etc och ej kan visa på hur det fungerar och/eller inte informera kandidaten om ”vad som pågår”. Sammantaget kan detta gynna de som söker arbete.

Dela detta inlägg

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.