Unntak fra forbudet
I e-postforskriften er det som nevnt kun definert to tilfeller der tiltak som innebærer overvåking av ansattes bruk av elektronisk utstyr, vil kunne være lovlig.
De eneste tilfellene der overvåkingen vil være lovlig, er altså når:
- tiltaket skal administrere virksomhetens datanettverk, eller
- tiltaket skal avdekke eller oppklare sikkerhetsbrudd i nettverket.
Forskriften er tydelig på at overvåkingen bare er lovlig for disse to formålene. Dersom overvåkingen skjer for andre formål, uansett hvor aktverdige disse er, vil den være ulovlig.
Vilkårene i unntakene er ikke nærmere forklart, og må derfor forstås ut fra ordlyden og formålet med bestemmelsen. Unntakene må dessuten tolkes i lys av personvernforordningen, særlig prinsippene om dataminimering og formålsbegrensning.
Prinsippet om dataminimering innebærer at arbeidsgiveren alltid må vurdere hvilke opplysninger som er egnet og nødvendige for å oppnå et av de to lovlige formålene med overvåkingen. Prinsippet om formålsbegrensning forbyr arbeidsgiverne å bruke opplysningene til nye formål som er uforenelige med det opprinnelige.
Eksempel
En arbeidsgiver har gjennom logging hentet inn opplysninger om hvilke internettsider de ansatte besøker. Formålet er å ivareta informasjonssikkerheten. Det vil da være forbudt å bruke opplysningene som er samlet inn til å samtidig undersøke om arbeidstakeren har oppfylt pliktene sine etter arbeidsavtalen.
1. "Å administrere virksomhetens datanettverk"
Det første unntaket gjelder overvåking av de ansattes bruk av elektronisk utstyr for å administrere virksomhetenes datanettverk.
Ut fra en språklig forståelse må vilkåret antas å omfatte alle praktiske og tekniske tiltak som er nødvendige for at systemene, nettverk, utstyr og programvare skal fungere.
Emsempel
En arbeidstaker trenger brukerstøtte og gir samtykke til å dele skjerm med IT-personellet. Et slikt tiltak vil omfattes av unntaket om å administrere virksomhetens datanettverk.
Når arbeidstakeren gir samtykke til skjermdeling i de tilfellene behovet oppstår, er det imidlertid tvilsomt om tiltaket i det hele tatt utgjør overvåking.
2. "Å avdekke eller oppklare sikkerhetsbrudd i nettverket"
Med "sikkerhetsbrudd" forstår vi brudd på informasjonssikkerheten generelt. Det er vanlig å si at det handler om å sikre at informasjon i alle former:
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Informasjonssikkerhet omfatter dermed mer enn personopplysningssikkerhet som er regulert i artikkel 32 til 34 i personvernforordningen.
For å oppnå informasjonssikkerhet må virksomheten identifisere risikoer informasjonsverdiene er utsatt for, og planlegge og gjennomføre egnede tiltak som skal redusere risikoene til et akseptabelt sikkerhetsnivå for virksomheten.
Begrepene å "avdekke" eller "oppklare" innebærer etter vårt syn verktøy som motvirker sikkerhetsbrudd, og bruk av logger og lignende til etterarbeidet med å oppklare sikkerhetsbrudd.
Spamfilter
Et spamfilter identifiserer både virus og andre typer skadelig programvare. E-post som blir identifisert som spam, blir lagt i karantene og er ikke synlig for arbeidstakeren.
Så lenge e-posten ligger i karantene er den synlig for "admin" hos arbeidsgiveren. Aktuelle virkemidler for å begrense inngrepet i personvernet ved bruk av spamfilter, er å begrense tilgangen til spamfilteret til så få administratorer som mulig, utarbeide tydelige rutiner for hvordan administratorene skal utføre arbeid med spamfilteret, og logge administratorenes innsyn i spamfilteret slik at virksomheten kan avdekke eventuell snoking.
Logging
Logging er å holde oversikt over både pågående og tidligere hendelser i virksomhetens systemer. Det innebærer for eksempel at et selskap følger med på inn- og utgående trafikk i nettverket sitt for å avdekke unormal trafikk og potensielle angrep på nettverket.
Eksempler på logging kan være:
- Brannmur. Her logges trafikken i virksomhetens nettverk. Det vil si alle IP-adresser en arbeidstaker er inne på. Innsyn i denne loggen kan utgjøre overvåking, fordi innsynet gir oversikt over arbeidstakers bruk av elektronisk utstyr over tid.
- Loggføring av aktivitet/tilgangsstyring. Dette innebærer loggføring av hvem som går inn på tilgangsstyrte mapper i virksomhetens systemer, og når de har vært inne. For eksempel vil det være nødvendig i helsesektoren å overvåke når ansatte har vært inne i journaler.
Les mer om logging på Nasjonal sikkerhetsmyndighet sine nettsider (nsm.no)
Data loss prevention
Datatilsynet mottar ofte spørsmål om bruken av "data loss prevention"-verktøy (også kalt datatapsteknologi på norsk). Dette er verktøy som overvåker tilgang til, eksport av og endring av informasjon. Informasjonen som beskyttes kan for eksempel være forretningshemmeligheter eller annen virksomhetskritisk informasjon. Slike funksjoner aktiveres som regel av en arbeidsgiver med det formål å forhindre at ansatte tar med seg viktig informasjon ut av virksomheten, for eksempel i forbindelse med avslutning av arbeidsforhold.
Dersom virksomheten har innført et slikt verktøy etter en forutgående risikovurdering, kan forskriften åpne for en slik bruk. En viktig forutsetning er at verktøyet er nødvendig for å oppnå et akseptabelt nivå av risiko for sikkerhetsbrudd.