Det digitale trusselbildet har endret seg betydelig de siste årene. For mange bedrifter er cyberangrep ikke lenger et spørsmål om «hvis», men om «når». Nasjonalt cybersikkerhetssenter registrerte tre ganger så mange alvorlige hendelser i 2020, sammenlignet med 2019.
Hackerangrepene som rammet flere store, offentlige og private aktører i sommer, var en klar påminnelse om risikoen. Nasjonal sikkerhetsmyndighet har uttalt at mange norske virksomheter ikke har et forsvarlig sikkerhetsnivå, og at økt bevissthet om digital risiko ikke blir omsatt til handling.
Budskapet er klart: Norske virksomheter må bli rustet til å håndtere det nye, digitale trusselbildet, og det haster.
Overvåkning av aktiviteten i it-systemene er ett av flere virkemidler som kan tas i bruk for å avdekke og avverge sikkerhetsbrudd og digitale angrep. Dette inkluderer også overvåkning av deler av ansattes aktivitet – for eksempel om noen sender ut unormale mengder data, eller laster ned dokumenter med bedriftssensitiv informasjon.
I Norge har vi strenge restriksjoner på arbeidsgivers mulighet til å gjøre innsyn i ansattes e-poster og filer og overvåkning av ansattes bruk av selskapets it-systemer. Begrunnelsen er at ansatte har rett til en viss privat sfære på jobben. Arbeidsgivere i Norge skal ha tillit til de ansatte, og ikke overvåke it-systemene for å kontrollere at de gjør jobben sin.
Dette utgangspunktet er det lett å si seg enig i. Den praktiske grensedragningen er imidlertid vanskeligere: Hvor går grensen mellom ulovlig overvåkning av arbeidsinnsats, og lovlig overvåkning for å avdekke sikkerhetsbrudd?
Reglene om innsyn og overvåkning er gitt i forskrift til arbeidsmiljøloven, og gjelder i tillegg til personopplysningsloven og GDPR. Regelverket håndheves av Datatilsynet og brudd kan sanksjoneres med bøter på linje med andre GDPR-brudd.
I forskriften står det at arbeidsgiver som hovedregel ikke kan overvåke ansattes bruk av elektronisk utstyr, som pc, mobiltelefon, internett og bedriftens it-systemer. De eneste unntakene gjelder dersom formålet med overvåkningen enten er administrasjon av it-systemene, eller «å avdekke eller oppklare sikkerhetsbrudd i nettverket».
Men hva er egentlig et «sikkerhetsbrudd i nettverket»? Og hvilke grep – om noen – kan arbeidsgiver ta når sikkerhetstrusselen kan stamme fra egne ansattes bruk av systemene?
Svaret på spørsmålene over er uklare. Dagens regler om overvåkning ble utformet på midten av 2000-tallet, og har i praksis vært uendret siden de trådte i kraft i 2009. Denne problemstillingen ble ikke drøftet da reglene ble laget, og er heller ikke avklart i ettertid.
Datatilsynet har ikke gitt et klart svar. I en rådgivende uttalelse i 2019 om bruk av applikasjonen Netclean ga Datatilsynet tvert imot uttrykk for at det ikke finnes tilgjengelige kilder som kan belyse hvordan begrepet «sikkerhetsbrudd» i forskriften skal forstås.
Det er ingen tvil om at norske virksomheter må skjerpe it-sikkerheten for å møte nye, digitale trusler, men slik situasjonen er nå, må man nærmest gjette seg frem til hvor grensen for lovlige sikkerhetstiltak går.
Realiteten er at norske virksomheter må balansere risikoen for cyberangrep mot risikoen for GDPR-bøter i millionklassen. Dette rammer både it-sikkerheten og rettssikkerheten.
Det er på høy tid at reglene for overvåkning av ansattes bruk av it-systemer i virksomheten tas opp til ny vurdering. Det må trekkes klare grenser for hvilke lovlige virkemidler arbeidsgivere har til disposisjon for å møte dagens digitale trusselbilde.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
… må gjette seg frem til hvor grensen for lovlige sikkerhetstiltak går