Artikkel
Når sikkerhet blir overvåking
Deloitte Advokatfirma
Verden har endret seg de siste årene og risikoen for å utsettes for datakriminalitet er reell og økende. Virksomheter både i Norge og internasjonalt får en stadig mer krevende balansegang mellom behovet for cybersikkerhet og personvern for de ansatte.
Publisert: 11. januar 2023
Mange arbeidsgivere må sette inn tiltak for å øke cybersikkerheten på arbeidsplassen for å sikre sensitiv informasjon og produksjonsprosesser mot angrep på sine informasjonssystemer. Arbeidsgiver har rett og slett en plikt til dette. Angrep kan komme utenfra, men også fra egne ansatte. De utgjør faktisk en av de største cyber-risikoene, fordi ansatte må ha tilgang til virksomhetens informasjon og systemer for å gjøre jobben sin. Denne tilgangen kan misbrukes av en ekstern aktør eller den ansatte selv. Problemstillingen er ytterligere aktualisert nå som store deler av arbeidsuken gjennomføres fra hjemmekontor. Det finnes mange tilnærminger for å redusere risiko for misbruk av tilganger og sårbarheter i systemer. Flere av disse innebærer bruk av kunstig intelligens og andre avanserte systemer for å avdekke misbruk. Noen av disse analyserer brukeradferd.
Analyse av brukeradferd kan være kontrollmekanismer som ikke faller inn under de mer kjente og klassiske kontrolltiltak på arbeidsplassen som adgangskontroll, rus-testing, innsyn i e-post etc. Det kan f.eks. være tiltak som registrerer unormale aktiviteter i et datasystem. Eksempelvis om du har en bruker som logger seg på Oslo og som tre timer senere logger seg på i USA, eller om en som jobber i økonomifunksjonen tildeler administratortilganger. Aktivitetene vil analyseres i virksomhetens informasjonssystemer og kan være nyttige verktøy for både norske og multinasjonale selskaper. Internett er globalt og cyberangrep kan treffe oss alle.
En implementering av slike tiltak vil enten direkte eller indirekte føre til at man også monitorerer, eller overvåker, de ansatte. Dette betyr at man må behandle personopplysninger iht GDPR. I tillegg vil dette være et «kontrolltiltak» etter arbeidsmiljøloven. Enkelt forklart kan man si at arbeidsmiljøloven stiller krav til hvordan kontrolltiltaket gjennomføres og personlovgivningen regulerer selve bruken av opplysningen man får gjennom kontrolltiltaket.
Arbeidsgiver må sørge for at de går riktig frem når de innfører programmer som kan analysere brukeradferd. For det første må arbeidsgiver gjøre en avveining av hensynet til virksomhetens behov for sikkerhet opp mot ansatte rett til å ikke bli overvåket. For mange virksomheter vil det være helt nødvendig å ha slike sikkerhetsløsninger for å kunne beskytte liv, helse og verdier, og da kan dette kan gå på bekostning av ansattes rett til å ikke bli overvåket. Virksomheten må kunne dokumentere sine behov, vurdere om man kan minimerer ulempene for de ansatte, og ha en plan for gjennomføringen og ikke minst oppfølgingen i ettertid.
Arbeidsgiver har også en plikt til å drøfte behovet, designet og gjennomføringen av kontrolltiltaket så tidlig som mulig med tillitsvalgte. I tillegg skal man informere de ansatte om kontrolltiltaket og hvilke praktiske konsekvenser dette får for de ansatte. For multinasjonale selskaper med ansatte på tvers av landegrenser, må man også vurdere om implementeringen er i henhold til lokal lovgivning.
5 råd til innføring av kontrolltiltak
Det er viktig at arbeidsgiver er bevisst på sitt handlingsrom og faktisk gjøre det som er nødvendig for å beskytte sin virksomhet mot cyberangrep. Men dette må skje på korrekt måte. Her er 5 råd til hvordan man skal innføre kontrolltiltak:
- Vær bevisst på om tiltaket virksomheten ønsker å iverksette enten direkte eller indirekte overvåker og kontrollerer ansatte
- Hvordan kan man minimere ulempene for de ansatte ved implementering av tiltaket
- Drøft behovet, designet og bruken av tiltaket med tillitsvalgte
- Informer de ansatte om tiltaket og hvilke praktiske konsekvenser det har for dem
- Evaluer behovet for bruken av tiltaket