Tilgangskontroll på arbeidsplassen

Eit system for tilgangskontroll (adgangskontroll) med lagring av passeringar er å rekne som ei form for overvaking av tilsette. Det er fleire ting arbeidsgjevaren må gjere før dei kan ta i bruk eit slikt system.

Elektroniske tilgangskontrollar for å kome inn og ut av arbeidsplassen er eit som systemet som styrer kven som skal ha tilgang til ulike område, og lagrar i enkelte høve informasjon om passeringar inn og ut av bestemde område.

Datatilsynet ynskjer å klargjere kva ei verksemd må gjere før eit slikt system kan takast i bruk, og kva for plikter som fylgjer av bruken.

Dersom systemet blir brukt som eit reint nøkkelkortsystem utan lagring av passeringar eller andre personopplysingar, er reglane noko annleis.

Denne rettleiaren er skriven for arbeidslivet, men det meste av innhaldet vil og vere gjeldane for andre sektorar.

Vurderingar som verksemda må gjere før start


Arbeidsmiljølova krev drøfting med dei tilsette

Eit tilgangskontrollsystem med lagring av passeringar er eit overvakingstiltak ovanfor dei tilsette. Før verksemda tek i bruk slike tiltak, føreset arbeidsmiljølova kapittel 9 at ein drøftar systemet med dei tilsette sine representantar. Alle tilsette må få informasjon om korleis systemet skal brukast, kva formålet er samt kva rettar og plikter verksemda og dei tilsette har i tilknyting til systemet.

Arbeidstilsynet kan gjeve nærmare rettleiing om slike drøftingar.

Arbeidsmiljølova er ikkje Datatilsynet sitt myndigheitsområde, men ved bruk av tilgangskontrollsystem må både arbeidsmiljølova og personopplysningslova sjåast i samanheng. Førstnemnde avgjer om verksemda kan innføre tiltaket, medan personopplysningslova klargjer korleis personopplysningane eventuelt skal behandlast.

Formålet må være klart

Verksemda må ha klare tankar om formålet med systemet. Formålet vil normalt vere å sikre verdiar, bygg og liknande.Å kontrollere om den tilsette gjer jobben sin vil ikkje vere i samsvar med eit slikt formål.

Det er viktig å klart fastsette formålet då dette set rammene for bruken av systemet.

Interesseavveging av behov

Personopplysingslova § 8 stiller krav til når personopplysingar kan behandlast. For innføring av tilgangskontroll vil det normalt være § 8 f som er aktuelt.

Arbeidsgjevar kan behandle opplysningane dersom dei som ansvarleg har ei rettmessig interesse i at opplysningane blir behandla, og omsynet til den registrerte ikkje overstig denne interessa. Det betyr at arbeidsgjevar må gjere ei avveging av interessene mellom sine behov og den tilsette sitt personvern.

Avveginga vil normalt forme måten systemet blir innretta på, og då spesielt kvar og når det er nødvendig å lagre informasjon om passeringar. Arbeidsgjevar må drøfte denne avveginga med dei tilsette sine representantar, og samanfell med krava i arbeidsmiljølova.

Eit alternativt behandlingsgrunnlag er samtykke frå den tilsette. Men i arbeidslivet let dette seg vanskeleg gjennomføre, sidan samtykket sjeldan kan baserast på reell fridom for arbeidstakaren.

Opplysingane skal være nødvendige for formålet

Systemet kan berre innehalde opplysingar som er nødvendige for at formålet skal kunne oppfyllast. Dette kan vere:

  1. opplysingar om korthaldar; internnummer, bilnummer eller firmatilknyting
  2. autorisasjonsopplysingar; kva område den enkelt har tilgang til og i kva tidsrom tilgangen gjeld
  3. passeringsopplysingar; når ulike kontrollpunkt er passert

For passeringsopplysningar må den ansvarlige òg vurdere for kva passeringspunkt og når det er nødvendig å registrere denne informasjonen.

Bruk av PIN-kode eller liknande

Ved lagring av passeringsopplysningar er det nødvendig at desse opplysningane har tilstrekkeleg kvalitet om dei skal brukast til å følgje opp hendingar. (Kravet om at opplysningar skal vere korrekte er stilt i personopplysningslova § 11 e).

Etter Datatilsynet si vurdering vil lagring av passeringar når det berre blir brukt passeringskort, gje for dårleg kvalitet på opplysningane til at dei kan registrerast og seinare brukast. Derfor kan passeringar berre lagrast når det skjer ei sterk autentisering, normalt ved at den tilsette bruker PIN-kode saman med tilgangskortet. Datatilsynet meiner også at ein slik praksis støttar interessene til den registrerte ved at kvaliteten i dei lagra opplysningane blir sikra, jamfør interesseavveginga.

Ved passeringar utan lagring er det opp til den ansvarlege å vurdere kor sterk autentiseringa skal vere, for eksempel om berre kort er tilstrekkeleg eller om det skal nyttast PIN-kode i tillegg. Dette gjeld også bruk av eit system kor logging er mogleg, men kor logginga ikkje er i bruk i den aktuelle situasjonen.

Informasjonsplikt og innsynsrett

Den som blir registrert i eit tilgangskontrollsystem, til dømes arbeidstakaren, skal bli informert om dette.

Informasjonen skal gjere den tilsette klar over kva som er formålet med registreringa, kven som får tilgang til opplysingane og korleis opplysingane skal brukast. Det bør også bli gjeve informasjon om kor lenge opplysingane blir lagra i samsvar med personopplysningsloven § 19.

Gode måtar å informere dei tilsette kan vere å ta opp bruken av systemet på eit allmøte, lage eigne informasjonsskriv som alle får, og samstundes sørgje for at alle nytilsette får same informasjonen når dei startar i verksemda. Alle har krav på informasjon om dette tiltaket og rutinar i tilknyting til det.

Dei registrerte har innsynsrett i opplysingar om seg sjølv, slik at dei har høve til å oppdage og endre feilregistreringar. Dette fylgjer av personopplysningslova § 18. Det skal bli informert om at denne retten finst.

Tilgang til og utlevering av opplysingar

Tilgangen til passeringsloggen må avgrensast slik at det berre er dei i verksemda som har eit klart behov for det som kan opne loggen og ta ut informasjon. Slik tilgang skal vere avgrensa i samsvar med formålet med anlegget. Dette vil i praksis vere avgrensa til dei som følgjer opp sikkerheitsrelaterte hendingar.

Opplysingar frå tilgangskontrollsystemet kan ikkje leverast ut til utanforståande utan samtykke frå dei opplysingane gjeld.

Politiet kan likevel krevje at opplysingane blir utlevert som ledd i etterforskinga av ei straffbar sak.

Vaktselskap som databehandlar

Fleire verksemder har også avtalar med vaktselskap i samband med tilgangssystem. Dersom vaktselskapet behandlar personopplysningar, som i tilgangskontrollsystemet, må det teiknast ein databehandlaravtale som klargjer forholdet mellom vaktselskapet og verksemda.

Sletting av opplysingar

Lova krev at personopplysingar ikkje skal lagrast lenger enn nødvendig. Det er opp til den ansvarlige (behandlingsansvarlege) å vurdere kor lenge det er behov for opplysingane. Vurderinga må takast ut frå omsyn til tryggleiken og vil variere frå verksemd til verksemd.

Under normale høve ser Datatilsynet på 90 dagar som maksimal lagringstid for passeringsopplysningar.

Kopling mot andre system

I utgangspunktet kan ikkje opplysningane i tilgangskontrollsystemet nyttast til andre formål, som for eksempel registrering av arbeidstid.

Systemet kan likevel nyttast til slik registrering dersom det krev ei særskild handling frå arbeidstakaren å registrere arbeidstida, og lagring av arbeidstidsinformasjonen blir logisk skilt frå passeringsloggen. Det kan heller ikkje vere mogleg å kople desse opplysingane saman.

Ofte gjev tilgangskontrollsystemet alarmar om uautorisert opning av dører og feil på dører. Slike alarmar kan og nyttas vidare i for eksempel videoovervaking.

Internkontroll

Personopplysningslova §14 og personopplysningsforskrifta kapittel 3 stiller krav om internkontroll. Det er krav om at verksemda sørgjer for at regelverket blir følgd ved å dokumentere sine vurderingar og rutinar.

Dokumenterte vurderingar

  • Fastsetting av behandlingsansvaret (ansvarleg verksemd).
  • Dokumentere at krava i arbeidsmiljølova til drøfting er ivaretekne.
  • Dokumentere formålet, jamfør personopplysningslova § 11 b).
  • Dokumentere kva personopplysningar det er nødvendig å registrere, jamfør personopplysningslova § 11 d) og e).
  • Dokumentere behandlingsgrunnlaget, jamfør personopplysningslova § 11 a), jamfør § 8.
  • Fastsette kven som skal ha tilgang til registrete opplysningar i systemet, særskilt logg.
  • Fastsette kven som kan krevje å få passeringsloggen.

Rutinar for den daglege bruken

  • Informasjon til dei tilsette, jamfør § 19.
  • Innsyn til dei tilsette, jamfør § 18.
  • Innsyn i passeringslogg for oppfølging.
  • Tildeling av tilgangar til systemet.
  • Rutinar for administrasjon av systemet .

Oppfølging av bruken

Verksemda skal regelmessig følgje opp om bruken er i samsvar med regelverket. Det vil til dømes seie å sjekke

  1. om systemet framleis har gyldig melding
  2. at informasjon blir gjeve til nytilsette, at opplysingar blir sletta
  3. at berre autoriserte personar har tilgang i systemet.

Les meir om korleis behandle personopplysingar på ein trygg måte.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll