IT-JUSS:
Når ansatte må settes under lupen
Rett før sommerferien ble en norsk statsborger pågrepet og siktet for spionasje for Kina. I Nasjonal trusselvurdering for 2024 forventer PST at fremmede staters etterretningstjenester vil forsøke å rekruttere kilder i Norge. Behovet for å kontrollere ansatte øker. Men hva kan du gjøre som arbeidsgiver eller som tjenesteleverandør for å overvåke ansatte?
Det er knapt grenser for hva slags informasjon som kan hentes inn, enten fra verktøy for å logge og hente inn informasjon eller fra normalt datautstyr og applikasjoner som genererer ulike digitale «spor». Stadig oftere får vi spørsmål om hva slags rammer jussen setter for å hente inn og (gjen)bruke materiale som kan belyse om ansatte opptrer uakseptabelt eller utgjør en risiko.
Problemet er at jussen på dette området er svært fragmentert, og overvåking kan føre til at flere andre tilknyttede utfordringer melder seg. For det første stilles det krav til kontrolltiltak i arbeidsmiljøloven. Arbeidsgiver må ha saklig grunn for overvåkningen, og den må ikke utgjøre en uforholdsmessig belastning for arbeidstakeren. I tillegg må overvåkningen drøftes med arbeidstakers tillitsvalgte, og de berørte ansatte må informeres om tiltaket.
Mer ukjent er det at forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale fastslår at overvåkning av arbeidstakers elektroniske utstyr i utgangspunktet er ulovlig. Enkelte unntak kan være aktuelle, blant annet for å ivareta informasjonssikkerhet. I tillegg krever personopplysningsloven at innsamlingen av personopplysninger har en hjemmel, og at arbeidsgiver gir de ansatte tilstrekkelig informasjon om opplysningsbruken.
Er arbeidstakeren statsborger i Russland eller Kina, eller har aner fra disse statene, kan det stilles spørsmål om dette er akseptabel forskjellsbehandling – eller om det er i strid med diskrimineringslovgivningen. Er det tale om ulovlig diskriminering kan arbeidstakere kreve erstatning for behandlingen. Erstatning kan også bli aktuelt ved brudd på personopplysningsloven.
Ikke sjelden har også arbeidsgivere informasjon som mer «tilfeldig» oppdages, som ingen har tenkt over at finnes i ulike applikasjoner eller systemer. Ved oppsigelse eller mistanke om sikkerhetsbrudd vil mange gjenbruke informasjon til å kontrollere eller overvåke arbeidstakeren. Er det ikke gitt informasjon om at bruken av datautstyr skaper bevismateriale og hva det skal brukes til, er hovedregelen at informasjonen ikke kan brukes, med noen mer snevre unntak.
For de som planlegger å overvåke ansatte eller levere overvåkningstjenester, kan personellsikkerhet være et juridisk minefelt.
Både arbeidsgivere og leverandører av overvåkningsverktøy må også ta hensyn til informasjonssikkerhet. Verktøyet må være sikkert, og sørge for at informasjon ikke utleveres eller endres på ureglementert vis. De såkalte NIS 1- og NIS 2-direktivene (som blir gjort til norsk lov i digitalsikkerhetsloven) stiller omfattende krav til digital sikkerhet og motstandsdyktighet for virksomheter som tilbyr digitale eller samfunnsviktige tjenester. For finanssektoren vil også DORA-forordningen stille sikkerhetskrav til teknologien som brukes.
For de som planlegger å overvåke ansatte eller levere overvåkningstjenester, kan personellsikkerhet være et juridisk minefelt. Vi anbefaler å begynne med en grundig kartlegging av hva slags informasjon som genereres i systemene og hva den brukes til. Deretter bør det skaffes oversikt over hvilke regler som må overholdes. Ansatte må deretter informeres. Syndes det på siste punkt, kan du risikere å stå hjelpeløs når ansatte utgjør en sikkerhetstrussel.
