Forholdet mellom cybersikkerhet og personvern krever vanskelige interesseavveininger, og det er uklart hva arbeidsgiver har lov til i dag, påpeker tre advokater fra advokatfirmaet Thommessen i Dagens Næringsliv 12. januar.
Særlig er advokatene opptatt av overvåkning av aktiviteten i it-systemer og om ansattes aktiviteter kan overvåkes.
Bakgrunnen for usikkerheten er at arbeidsgiver kun kan overvåke ansattes bruk av elektronisk utstyr innenfor rammene av forskrift om arbeidsgivers innsyn i epostkasse og annet elektronisk lagret materiale, i det fall det skjer for å administrere datasystemer eller for «å avdekke eller oppklare sikkerhetsbrudd i nettverket».
Advokatene stiller spørsmål om hva som egentlig utgjør et «sikkerhetsbrudd i nettverket», og problematiserer om det overhodet kan settes i gang tiltak («om noen») når sikkerhetstrusselen kan stamme fra egne ansattes bruk av systemene. De viser til at det mangler kilder som belyser spørsmålet, og klager på fraværende tydeliggjøring etter at dagens regler «om overvåkning ble utformet på midten av 2000-tallet, og har i praksis vært uendret siden de trådte i kraft i 2009.»
Etter mitt skjønn reises relevante spørsmål, og det er absolutt uklare aspekter ved reguleringen. Men jeg er uenig i at vi nærmest står på «bar bakke» hva gjelder kilder og forståelse av innholdet i uttrykket «sikkerhetsbrudd» og mulighet for å overvåke.
Uttrykket i reguleringen har en forhistorie som strekker seg lenger tilbake enn midten av 2000-tallet. Allerede i 1996 ble forskriftsverk til personregisterloven vedtatt endret for å gjøre unntak fra konsesjon for aktivitetslogg for blant annet «brudd på sikkerheten i edb-systemet», som også gjenspeiles i gjeldende regulering med endret ordlyd.
Det finnes en rekke uttalelser både fra Datatilsynet og i juridisk teori som kan belyse innholdet i ordlyden, både for denne forskriften og den senere personopplysningsforskriften.
Dagens uttrykk, «sikkerhetsbrudd i nettverket», tilsier en nokså vid og generell adgang til å gjennomføre overvåkning for å avdekke problemer. Ordlyden er ikke avgrenset til å gjelde eksterne personer eller bestemte handlinger.
I Netclean-saken, som advokatene nevner, påpeker da også Datatilsynet vitterlig at sikkerhetsbrudd «må forstås som en hendelse som medfører brudd på konfidensialitet, integritet og tilgjengelighet ved informasjonsbehandlingen.»
Det ville skapes en helt uhensiktsmessig situasjon dersom forskriften skulle ekskludere ansattes handlinger.
I saker jeg selv har bistått i har det vært tale om ansatte som laster ned store mengder informasjon for å ta den med videre til konkurrerende virksomhet, og dessuten spørsmål om fare for ansattes utlevering av informasjon fra interne arkiver til fremmede makter.
Det er neppe tvilsomt at dette fremstår som «sikkerhetsbrudd».
I desember 2000 ga Datatilsynet ut kommentarer til sikkerhetsbestemmelsene i den dagjeldende personopplysningsforskriften. Der påpeker tilsynet blant annet at «sikkerhetstiltak skal etableres både med formål å hindre sikkerhetsbrudd, og for å avdekke hendelser som kan forårsake sikkerhetsbrudd», og at dette «medfører at alle forsøk på uautorisert bruk av informasjonssystemet må registreres».
Tilsvarende er det nevnt i Datatilsynets gamle veileder «Risikovurdering av informasjonssystem» at «sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse». I Stefan Jørstads juridiske verk om overvåkning av ansatte, antar han at overvåkning for å avdekke brudd på sikkerheten også vil omfatte «tilfeller hvor formålet med behandlingen er å avdekke hvorvidt arbeidstagerne eksempelvis har blottlagt informasjon i datasystemet for uvedkommende tredjemenn mv.».
For spesifikke tiltak som kan iverksettes, er det trolig mindre hensiktsmessig at forskriftens regulering «tas opp til ny vurdering». Forskriften gir et vidt spillerom. Mer krevende er det å ta stilling til hva slags metoder og informasjonsmengde som er nødvendige og forholdsmessige. Her vil det alltid bli en konkret vurdering. Eksisterende rettspraksis og teori gir nok av eksempler.
Tydeliggjøring bør definitivt vurderes. Likevel er det altså allerede trolig tilstrekkelig kildemateriale til å ta stilling til de fleste problemstillinger.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.