get_queried_object(); $id = $cu->ID; ?>
Avatar photo

I dag har jeg holdt et innlegg på Sikkerhetssymposiet i Bergen. Tema for konferansen var «Hvem vokter vokterne?». Det er naturlig å tenke at Datatilsynet vokter vokterne. Og det må vi gjøre, men med begrenset antall personvernvoktere (totalt 41 hoder), så er det enda viktigere å få vokterne til å vokte seg selv.

For med økt overvåking i samfunnet og av virksomheter – er det i det hele tatt mulig å være anonym? God informasjonssikkerhet er ofte viktig for å ivareta personvernet, men mange sikkerhetstiltak innebærer inngripen i personvernet til den enkelte.

Et viktig personvernprinsipp i denne sammenhengen er proporsjonalitetsprinsippet:

Innsamling og behandling av personopplysninger er regulert i personopplysningsloven. Behandlingen av opplysninger om deg må ikke medføre urimelig belastning for din integritet eller selvråderett. Det må være balanse mellom hensyn til den som registrerer og den som blir registrert, og registreringen må være proporsjonal med formålet. Man skal alltid velge det alternativet som griper minst inn i personvernet til den enkelte når man har valget mellom to ulike måter å behandle personopplysninger på.

Hvor går grensen for hvem, hva, og når vi skal overvåke?
En del foreldre synes det er greit å overvåke barna sine. De ønsker selvsagt at barna skal vokse opp trygt og godt, og har begynt å ta i bruk teknologi for å bistå dem med dette. Noen putter en GPS-brikke i ranselen for å forsikre seg om at barna rekker skolen. Andre sjekker chatlogger, SMS-er, internetthistorikk, og kanskje til og med dagbøkene (elektroniske eller ikke).

Jeg er selv mor til to barn i barneskolen, og jeg får frysninger av dette. Jeg mener at mine barn skal få lov til å ta en avstikker når de beveger seg fra A til B, uten at jeg må vite om dette. Om min datter sier at hun skal gå til en venninne, men stikker innom en annen på veien, så hva så? Barna har rett til personvern de også, og hvis de føler seg overvåket på én kanal, så er jeg sikker på at de kommer til å bruke en annen kanal, kanskje en mer ubeskyttet kanal, for å kommunisere med sine venner. Fremfor å overvåke baserer jeg meg på å lære mine barn tillit og ha en åpen dialog. Vi snakker om hva som er greit og ikke greit å gjøre på nett eller i kommunikasjon med andre.

Hva tenker så foreldrene når de selv blir overvåket av sin arbeidsgiver? Er det like greit?
Vi har hatt noen saker inne til vurdering hos oss. Den ene saken dreide seg om dekryptering og innholdsinspeksjon av ansattes krypterte nettrafikk. Formålet for virksomheten er å sørge for tilfredsstillende informasjonssikkerhet gjennom å avdekke og avskjære trafikk inneholdende virus eller annen programvare som er skadelig for virksomhetens systemer. Et godt formål, men inngripende i den sikre kommunikasjonen som den ansatte skulle ha med sin bank, i sin private e-post, i sin aktivitet på sosiale nettsteder og liknende.

For virksomheten var det ikke et alternativ å avskjære kryptert trafikk. Dette skyldtes både av forretningsmessige og tekniske hensyn, så vel som hensynet til de ansatte. Avskjæring ville vanskeliggjøre nødvendig virksomhetsrelatert kommunikasjon med selskapets avtaleparter og tjenesteytere. Og å forby de ansatte å benytte virksomhetens systemer til private formål kunne anses å være et mer inngripende tiltak enn det å stille vilkår for slik bruk. Datatilsynet la til grunn risikovurderingen virksomheten hadde gjort og vurderte tiltaket som forholdsmessig. Vi la vekt på at virksomheten etablerte en whitelist og en blacklist, og at det bare var deler av kommunikasjonen som ble underlagt tiltaket. Innholdsinspeksjon ble gjennomført på en lite inngripende måte. Vi minnet også om plikten til å informere de ansatte om tiltaket.

Det finnes andre sikkerhetstiltak som også brukes, slik som Data Loss Prevention og Mobile Device Management. Jeg går ikke i inn på disse her, men jeg vil si at også ved bruk av slike sikkerhetstiltak og verktøy må man gjøre en vurdering av sikkerheten til virksomheten opp mot personvernet til de ansatte. Man bør ikke bruke et tiltak nøyaktig slik de er satt opp som standard fra leverandør, men heller vurdere hvilke informasjonsverdier det er viktig å beskytte for virksomheten, og hvordan de kan implementere tiltaket uten å få innsyn i den ansattes private kommunikasjon, helseopplysninger, bilder og liknende. Det handler igjen om proporsjonalitet og balanse.

Vi har tidligere gitt arbeidsgivere overtredelsesgebyr på 75.000 kroner for å ha foretatt ulovlig innsyn i de ansattes e-post. Siden det er mange som kontakter oss om overvåking i arbeidslivet, så har vi gode veiledningssider på våre nettsider med råd til arbeidsgivere og til arbeidstakere.

Men hva så med ansatte som snoker?
Det er dessverre ofte oppslag i media om ansatte ved helseforetak som benytter sin tilgang til pasientjournaler for å tilfredsstille sin nysgjerrighet. De gjør blant annet urettmessige oppslag på kjendiser, kollegaer og naboer. Her kan man ikke bestandig basere seg på tillit og ta stikkprøver av logger, men man bør innføre tekniske sperrer. Først og fremst bør det på plass en sterk autentisering, slik at man vet hvem som har vært inne og lest i hvilke journaler. I tillegg må man ha på plass logging og logganalyse. En løsning for logganalyse har Nasjonal IKT i samarbeid med andre aktører kommet frem til i et prosjekt om logganalyse og mønstergjenkjenning som metode. Prosjektet kalles «Etablering av nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre».

Som Nasjonal IKT skriver i sitt prosjekt så er konfidensialitet en forutsetning for pasientenes tillit til helsevesenet. Det er ulovlig å gjøre oppslag i en journal uten at det foreligger et tjenstlig behov. Oppslaget må være begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp, eller ha særskilt hjemmel i lov eller forskrift. Helseforetakene har lovpålagt plikt til å beskytte helseopplysninger mot uberettiget innsyn. Ett av tiltakene er plikten til å loggføre alle oppslag, og føre jevnlig kontroll med loggen. Metoden har vist seg å være den best egnede for å kontrollere oppslagene i pasientjournalen. Metodens utgangspunkt er at de fleste oppslag som utføres er legitime, mens oppslag som bryter med det vanlige oppslagsmønsteret i klinikken blir kontrollert. Alle oppslag analyseres først maskinelt og oppslag som fremstår som uvanlige, kontrolleres etter en manuell prosedyre. Det er dermed oppslagsmønstrene som styrer metoden og ikke forhåndsdefinerte regler.

Hva med overvåking av myndighetene?
Nei, det er heller ikke greit, og det mente EU-domstolen også da den kom frem til at Datalagringsdirektivet er ulovlig. I tillegg fastslo en ekspertutredning at forslaget til norsk datalagringsregelverk, som kom etter direktivet, ikke lar seg forene med menneskerettighetskonvensjonen.

Dessverre hersker det andre tilstander i USA. Det er nærmest dagligdags å lese om hvilke tilganger myndighetene tilegner seg lovlig og ulovlig. En av de nyere artiklene jeg har lest, handler om at Obama-administrasjonen har bestemt seg for at de allikevel ikke skal be om en bakdør for å få tilgang til kryptert informasjon på iPhone og andre digitale enheter. Selv om dette er en god nyhet, var det helt klart ikke personvernet til den enkelte som stod i fokus da de bestemte dette. Det var i stedet virkeligheten som innhentet dem: Dersom det skulle lages en bakdør inn for amerikanske myndigheter, ville dette bli et kikkhull som også Kina, Russland, cyberkriminelle og terrorister kunne ha mulighet til å utnytte.

Så hvilke råd kan Datatilsynet gi til vokterne som skal vokte seg selv?
Jeg mener dette er enkelt. Ta i bruk løsninger som har innebygd personvern og still det som krav til leverandører, og gjør en vurdering av konsekvensene for personvernet.

Dersom en virksomhet skal innføre sikkerhetstiltak som kan virke inngripende på personvernet, gjør følgende:

  • Vurder tekniske sperrer fremfor å basere seg på å inspisere logger i etterkant.
  • Definer formålet med sikkerhetstiltaket.
  • Finnes det et behandlingsgrunnlag?
  • Hva slags personopplysninger behandles? Kan noe anonymiseres?
  • Definer lagringstid.
  • Involver tillitsvalgte i forkant.
  • Innfør klare og tydelige retningslinjer om tiltak og innsyn, og gi god informasjon til de ansatte om tiltaket.
  • Definer hva som er et grovt brudd på informasjonssystemet og som kan føre til innsyn.
  • Gi god informasjon og tidsfrister for opphør av uønsket/ulovlig aktivitet før det blir gjort innsyn i den ansattes kommunikasjon.

Dere finner oversikt over virksomhetens plikter på datatilsynet.no.

Alt i alt handler det om moderasjon, respekt og åpenhet. Enkelt og greit.