Overvåking og logging av arbeidstakeres bruk av datasystemer

De fleste datasystemer har automatiske loggfunksjoner. Virksomheten har et ansvar for hvordan de opplysningene loggingen genererer blir brukt.

Hva logges?

Virksomheten må logge alt som har betydning for informasjonssikkerheten. Loggingen er nødvendig for at systemet skal fungere. Det skal registreres hvem som har forsøkt å logge seg på systemet eller ulike program, og om dette ble godkjent eller ikke. Det vanligste er at det skjer en logging av hvem som til enhver tid er inne på forskjellige programmer og filer. Ansattes aktiviteter på internett eller bruk av skriver logges også automatisk.

Klare retningslinjer

Virksomheten skal opplyse arbeidstakere om hva som er akseptabel bruk av datasystemet. Det kan gjøres gjennom definerte sikkerhetsmål, strategi og risikovurdering. Virksomheten kan bestemme at nedlasting av musikkfiler eller store bildefiler ikke kan aksepteres ut fra systemets sikkerhetsnivå. Virksomheten kan også på bakgrunn av en vurdering av sikkerhetsnivået til datasystemet forby at de ansatte bruker systemet til private formål. Dette ligger i arbeidsgivers styringsrett.

Datatilsynet forutsetter at virksomheten har retningslinjer for bruk av datasystemet. De ansatte må kjenne til disse retningslinjene og konsekvensene av å bryte dem. Hva slags følger eventuelle brudd på sikkerheten får for de ansatte, er det ikke opp til Datatilsynet å vurdere. Annen lovgivning, for eksempel arbeidsmiljøloven, setter grenser for dette.

Systemovervåking

Arbeidsgiveren kan også benytte loggene til overordnet systemovervåking eller generell kontroll av datasystemet. Denne kontrollen kan imidlertid bare skje på gruppenivå for hele eller deler av virksomheten.

Noen ganger vil arbeidsgiveren da kunne se av loggene at de ansatte misbruker datasystemet for eksempel ved at det lastes ned filer og programmer i strid med interne retningslinjer og instrukser, eller at det generelt benyttes for mye tid på internett. Det finnes da forskjellige tekniske løsninger arbeidsgiveren kan velge som ikke innebærer behandling av personopplysninger. Dette kan for eksempel være innføring av sperre mot visse typer nedlastning, filer eller nettsteder.

God informasjon til ansatte

Hvis arbeidsgiveren oppdager aktivitet som ikke er lov, bør han/hun gi beskjed om at det vil bli kontrollert hvem som står for den ureglementerte aktiviteten hvis den ikke tar slutt innen en gitt frist.

Dersom aktiviteten ikke er opphørt når fristen er utløpt, vil arbeidsgiveren uten samtykke fra de ansatte kunne bruke loggene til å finne frem til den som står bak.

Det er i slike tilfeller en forutsetning at arbeidstakerne har fått utfyllende informasjon i forkant. Den ansattes personvern vil da veie mindre enn arbeidsgiverens berettigede interesse i kontrollen. De opplysningene som kommer frem kan antagelig bli benyttet mot den ansatte for eksempel i en arbeidsrettssak. Dette følger imidlertid andre regler enn personopplysningsloven.

Dersom loggene indikerer straffbare forhold, for eksempel surfing på barnepornografi, skal politiet alltid kontaktes.

Ingen kartlegging av enkeltpersoner

Arbeidsgiveren kan ikke uten videre kartlegge hvor mye tid hver enkelt bruker på internett, eller hvilke sider som blir besøkt. Loggene kan for eksempel ikke benyttes til overvåking av de ansatte til bruk ved oppsigelser uten særskilt behandlingsgrunnlag. Bruk av loggopplysningene til denne typen formål skal meldes til Datatilsynet.

Arbeidsgiver kan heller ikke bruke logger over aktivitet i interne saksbehandlersystemer til å overvåke de ansattes produksjonstakt.


Sjekkliste

Vi har laget en sjekkliste over hvordan arbeidsgiver kan og ikke kan bruke logger fra datasystemet.

Arbeidsgivere kan:

  1. Forby nedlasting av musikkfiler eller store bildefiler
  2. Forby bruk av systemet til private formål
  3. Benytte loggene til overordnet systemovervåking (gruppenivå)
  4. Bruke loggene til å finne frem til hvem som står bak uønsket aktivitet. Etter at fristen arbeidsgiver har satt for at aktiviteten opphører har gått ut, kan arbeidsgiver gjøre dette uten samtykke fra de ansatte.
  5. Bruke tekniske sperrer mot visse typer nedlasting eller nettsteder dersom de ser av loggene at datasystemet misbrukes i strid med retningslinjer, eller at det generelt brukes for mye tid på internett.

Arbeidsgivere skal:

  1. Gi beskjed til ansatte dersom de vil kontrollere om systemet benyttes til ureglementert aktivitet
  2. Kontakte politiet dersom loggene indikerer straffbare forhold, for eksempel surfing på barnepornografi

Arbeidsgivere kan ikke:

  1. Kartlegge hvor mye tid hver enkelt ansatt bruker på internett, eller hvilke sider som blir besøkt
  2. Bruke datasystemets aktivitetslogger, som er ment for å ha oversikt over driften av systemet, til å også overvåke de ansattes produksjon.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll