Overvåking av ansatte – balansen mellom it-sikkerhet og personvern

Som følge av et stadig mer digitalisert samfunn har også det digitale trusselbildet endret seg betydelig. Vi ser for eksempel at tilfeller av datainnbrudd har økt betydelig de siste årene – både når det kommer til større angrep som rammer flere virksomhetens systemer, men også mer målrettede datainnbrudd. Det er klart at virksomhetene har en plikt til å beskytte seg mot sikkerhetsbrudd og digitale angrep, herunder for eksempel at personopplysninger eller bedriftssensitiv informasjon kommer på avveie, eller at det utøves annen alvorlig kriminalitet fra virksomhetens it-systemer. Arbeidsgivers tiltak i den forbindelse, må imidlertid også være forholdsmessige og ikke stride med arbeidstakers rett til privatliv og personvernregelverket.

Overvåking av aktiviteten i it-systemene er et effektivt og relevant virkemiddel for å avdekke og avverge sikkerhetsbrudd. Denne type overvåkning av it-system vil gjerne inkludere overvåking av deler av ansattes aktiviteter, for eksempel om en ansatt laster ned dokumenter med bedriftssensitiv informasjon eller sender ut store mengder data.

På den andre siden er retten til personvern og privatliv grunnleggende menneskerettigheter, som også gjør seg gjeldende på arbeidsplassen. Vi har derfor strenge regler for når en arbeidsgiver kan gjøre innsyn i e-post og annet elektronisk materiale, eller overvåke ansattes bruk av virksomhetens it-systemer. 

Når det gjelder overvåking av ansattes elektroniske utstyr som pc, mobiltelefon, internett og virksomhetens it-systemer, fastslår forskrift om arbeidsgivers innsyn i e-post og annet elektronisk materiale (forskrift til arbeidsmiljøloven, som gjelder i tillegg til personvernloven og GDPR) at dette som utgangspunkt er forbudt. Unntak gjelder hvis formålet med overvåkingen enten er administrasjon av it-systemene, eller å «avdekke eller oppklare sikkerhetsbrudd i nettverket.» 

Et svært relevant spørsmål er derfor hva som utgjør et «sikkerhetsbrudd i nettverket» og dermed kan overvåkes lovlig. Og hvilke metoder kan en arbeidsgiver benytte seg av for å «avdekke eller oppklare» brudd? Regelverket håndheves av Datatilsynet og overvåking i strid med regelverket, kan derfor sanksjoneres med bøter på tilsvarende måte som andre personvernbrudd.

Uttrykket «sikkerhetsbrudd i nettverket» alene, tilsier en vid og generell adgang til å gjennomføre overvåking for å avdekke problemer. Ordlyden er ikke avgrenset til bestemte handlinger. 

Forskriften trådte i kraft i 2018 i forbindelse med implementeringen av GDPR i norsk rett, men videreførte i stor grad reglene slik de har vært siden de trådte i kraft i 2009. Det finnes uttalelser fra Datatilsynet fra 2000-tallet om forståelsen av regelen og i tråd med ordlydens generelle formulering: «Sikkerhetstiltak skal etableres både med formål å hindre sikkerhetsbrudd, og for å avdekke hendelser som kan forårsake sikkerhetsbrudd», og at dette «medfører at alle forsøk på autorisert bruk av informasjonssystemet må registreres.» I en annen uttalelse fra Datatilsynet fremgår det at «sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse.» 

Det er i utgangspunktet fornuftig forskriftens ordlyd er vid slik at den ikke ekskluderer noen av ansattes (rettstridige) handlinger. Både teknologien og synet på personvern har imidlertid utviklet seg siden midten av 2000-tallet, og det er dermed ikke gitt at adgangen til overvåking av ansatte er like vid som det ordlyden og gamle kilder kan gi uttrykk for. 

En sak fra 2019 er illustrerende for problematikken. I en rådgivende uttalelse om bruk av applikasjonen Netclean, som utelukkende var ment å avdekke ulovlig deling av overgrepsmateriale, sa Datatilsynet at «sikkerhetsbrudd» må forstås som en «hendelse som medfører brudd på konfidensialitet, integritet og tilgjengelighet ved informasjonsdelingen», men kom til at applikasjonen ikke var lovlig. Begrunnelsen var at deling av overgrepsmateriale «ikke i seg selv nødvendigvis [vil] utgjøre et sikkerhetsbrudd». Saken viser at Datatilsynet i praksis har hatt en streng og snever tolking av ordlyden «sikkerhetsbrudd», og dermed at arbeidsgiver ikke har en så vid og generell adgang til å gjennomføre overvåking slik som ordlyden legger opp til. 

Når det gjelder hvilke grep og verktøy arbeidsgiver kan benytte når sikkerhetstrusselen stammer fra egne ansattes bruk av systemene, er ordlyden taus og vi har heller ikke noe klart svar fra tilgjengelige kilder. Spørsmålet settes på spissen nå som det har kommet så mange nye verktøy på markedet som kan innhente store mengder informasjon om de ansatte. Personvernlovgivningens generelle prinsipp om saklighet og forholdsmessighet innebærer også at arbeidsgiver må passe på at de verktøyene de benytter, i tilstrekkelig grad avgrenser informasjonsinnhentingen til det formål det er ment å avdekke og ellers ivareta arbeidstakerens integritet. 

Grensen mellom ulovlig overvåking av arbeidsinnsats, og lovlig overvåking for å avdekke sikkerhetsbrudd er følgelig vag, arbeidsgiver står overfor krevende vurderinger- spesielt når en sikkerhetskritisk situasjon oppstår. Dette har også Datatilsynet anerkjent, og det arbeides derfor per dags dato med et nytt utkast til veiledning om overvåkningsforbudet i forskrift om arbeidsgivers innsyn i e-post og annet elektronisk materiale § 2. Der vil Datatilsynet gi praktiske eksempler på hvordan virksomheter kan gå frem for å gjennomføre informasjonssikring.  Formålet er å gjøre grensen mellom lovlig og ulovlig overvåkning så enkel som mulig. Planen er videre at utkastet til veiledning skal sendes på høring, slik at de som ønsker kan komme med innspill. 

Vi mener Datatilsynets satsing på dette området er viktig. Dette fordi arbeidsgiver i dag må balansere risikoen for datainnbrudd opp mot risikoen for GDPR-bøter i millionklassen, uten særlige klare retningslinjer for vurderingen. 

Innholdet i denne artikkelen er skrevet av:

Birgitte Vaagen Rekdal

LinkedIn

Marita Aarflot Silset

LinkedIn