For å spare administrative kostnader, spesielt porto- og trykkekostnader, brukes e-post for å sende ut lønnsslipper. E-post er en kommunikasjonsform som normalt ikke vil tilfredsstille kravene personopplysningsforskriften § 10-2 stiller, da e-post er en åpen tekstbasert kommunikasjonsform. E-post går heller ikke direkte fra avsender til mottaker, som mulig kunne ha vært tilfredsstillende, men via mange forskjellige knutepunkt før den kommer frem.
Fødselsnummer er særlig regulert i personopplysningsforskriftens § 10-2, som sier at elektronisk sending av fødselsnummer må sikres slik at det ikke er tilgjengelig for andre enn adressaten. Et ytterligere aspekt er at lønnslipper også kan inneholde særtrekk som forteller noe om en persons livssituasjon, straffbare forhold eller andre forhold med høye krav til konfidensialitet. Straffbare forhold regnes som sensitive personopplysninger og har dermed et høyt sikkerhetsbehov. Hovedregelen er at man skal ha tilfredsstillende informasjonssikkerhet for å beskytte personopplysninger med høyest beskyttelsesbehov, jf. personopplysningsloven § 13 og personopplysningsforskriften kapittel 2.
Ulike løsninger for utsending av lønnsslipp og vurdering opp mot personopplysningsloven
1. Utsendelse av lønnslipper fra et eksternt regnskapsfirma til en virksomhets ansatte og/eller en spesifikk mottakeradresse.
Utsendelse av lønnslipper fra et eksternt regnskapsfirma til virksomhetens ansatte, enten på den ansattes private eller jobbrelaterte e-post adresse, må krypteres for å tilfredsstille behovet for konfidensialitet. Tilstrekkelig informasjonssikkerhet hos regnskapsfirma bør også på plass. Kryptering av lønnsslippen bør med fordel skje i lønnssystemet hos regnskapsfirmaet. Det er i hovedsak to grunner til det:
Lønnsslipper kan bli liggende ubeskyttet på e-postserveren, som blir gjenstand for sikkerhetskopiering og dermed vanskeliggjør sletting. Dette kan igjen tilsi dårlig sikring av konfidensialitet, og unødvendig tilgang til personopplysninger for uvedkommende kan da forekomme.
Et ytterligere aspekt er dekryptering hos mottaker og håndtering, særlig med tanke på sikkerhetskopi av e-postserveren og temporære filer på lokal maskin.
2. Utsendelse av lønnsslipper til lokale e-post adresser innenfor den behandlingsansvarliges informasjonssystem.
Forutsetningen her er at lønnsslippene enten er produsert innenfor den behandlingssansvarliges informasjonssystem eller tilkommet virksomheten på en måte som tilfredsstiller behovet nødvendig konfidensialitet. Se også punkt en over.
To risikopunkter man bør vurdere ved bruk av denne metoden, er den ansattes ønske om å videresende e-posten til en ekstern e-postadresse samt sikkerhetskopiering, informasjonssikkerhet på e-post serveren og sletting. Informasjonssikkerheten bør være tilfredsstillende i henhold til graden av personopplysninger som lønnsslippen inneholder.
3. Utsendelse av lønnsslipper til eksterne e-postadresser utenfor den behandlingsansvarliges informasjonssystem.
En slik metode vil fungere på samme måte som å benytte et eksternt regnskapsfirma. Hovedsakelig vil derfor argumentasjonen under punkt en gjelde.
Har man en blanding mellom metode to og tre, bør det treffes tiltak som tilfredsstiller kravene for utsendelse av lønnslipper til eksterne e-postadresser. Dette gjelder da for alle utsendelser, for å redusere risikoen for at en utsendelse eksternt ikke har nødvendig konfidensialitetsbeskyttelse. Et godt eksempel vil være at en ansatt ønsker å få lønnslipp på sin private e-post i stedet for den jobbrelaterte.
4. Virksomhetens e-post server står hos databehandler.
Hvis e-post serveren står utenfor den behandlingssansvarliges informasjonssystem, typisk hos en databehandler (eks. Cloud Computing), bør det treffes tiltak på lik linje som nevnt i punkt en.
5. Portalbasert løsning med autentisering, hvor den ansatte kun får tilgang til lønnsslippen.
En portalbasert løsning med SSL-kryptering og to-faktor autentisering vil kunne eliminere mange av de problemstillingene som e-postbasert utsendelse og håndtering av lønnslipper har. Med gode rutiner for sikkerhetskopien av portalen vil man sannsynligvis også ivareta sletting på en god måte. Uansett må man huske at punktene en til fire kan komme innunder dette punktet hvis man benytter eksterne eller interne parter til å formidle lønnslipper til portalen. Fortrinnvis bør opplasting av lønnsslipper til portalen skje via det samme grensesnittet som brukerne bruker for å lese og eventuelt hente ned lønnslippene sine.
Husk at nødvendig tilgangstyring også er noe man bør ta høyde for i en slik portal. Man skal ikke ha tilgang til mer informasjon en hva angår en selv.
Les meir om kryptering (nytt vindauge).
Les om lønnsslippar og sending av e-post (nytt vindauge).