God cybersikkerheit er også godt personvern
Dette innlegget er eit innspel til debatten om forskrift om overvaking i arbeidslivet vs. behovet for god informasjonssikring. Innspelet sto på trykk i Dagens Næringsliv 8. februar 2023, og dette er ein forlengd versjon.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak.
Forbodet mot å overvake arbeidstakarars bruk av elektronisk utstyr ligg bortgøymt i ei ufullstendig forskrift. Datatilsynet har tatt initiativ overfor fleire departement for å løfte utfordringane med forskrifta. I mellomtida gjer vi det vi kan for å rettleie verksemder og arbeidstakarar.
Forskrifta med det noko misvisande namnet «forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale» inneheld eit forbod mot å overvake arbeidstakarars bruk av elektronisk utstyr, i andre avsnitt av paragraf 2. Når Datatilsynet møter bedrifter og offentlege aktørar, merkar vi at mange ikkje har høyrt om dette overvakingsforbodet. Vi er glade for at advokatane ved Thommessen har løfta dette ut av ekspertsirklane og over i ein offentleg debatt. Vi ønskjer å kome med vårt perspektiv i samtalen.
Vi er einig med advokatane ved Thommessen i at det er på tide å revidere den nemnde forskrifta. På grunnlag av erfaringane vi har gjort oss sidan forskrifta kom i 2018, føreslo vi i fjor endringar for Arbeids- og inkluderingsdepartementet. Vi har også tatt initiativ overfor både Justisdepartementet og Kommunal- og distriktsdepartementet for å løfte utfordringane med forskrifta. I denne dialogen er overvakingsforbodet eit sentralt tema. Medan endringsforslaga ligg hos lovgjevarane, vil vi i Datatilsynet gjere det vi kan, ved å rettleie verksemder og arbeidstakarar.
Formålet med forbodet i forskrifta er å gje norske arbeidstakarar eit større vern mot å bli overvaka av sjefen enn det som følgjer av den europeiske personvernforordninga (GDPR). Overvaking som skjer med formål å avdekkje eller oppklare «sikkerhetsbrudd i nettverket» er likevel tillate etter forskrifta, som eitt av to unntak. Vi støttar advokat Vanebos oppfatning om at verksemder kan gjennomføre viktige informasjonssikringstiltak innanfor dagens regelverk.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak. Eit eksempel kan vere logging for å oppklare cyberangrep, fordi leiinga er usikre på om tiltaket er lovleg. Informasjonssikringstiltak tryggjer ikkje berre viktige verdiar for verksemdene, men også personopplysningane til tilsette, kundar, innbyggjarar og leverandørar. Informasjonssikring er påbode i GDPR, for å sikre at personopplysningar er tilgjengelege for dei som treng dei når dei treng dei og for at integriteten blir ivaretatt.
Datatilsynet arbeider med rettleiing
Vi arbeider allereie med eit utkast til rettleiing på Datatilsynet.no om overvakingsforbodet i e-postforskrifta paragraf 2. Der vil vi gje praktiske eksempel på korleis verksemder kan gå fram for å gjennomføre informasjonssikring, som inneber overvaking av arbeidstakarar.
Det vanskelegaste spørsmålet for oss er likevel kor grensa går for overvaking, når formålet ikkje er relatert til drift eller sikkerheit. Kor mykje kan ein leiar følgje med på arbeidsaktiviteten til dei tilsette før det blir rekna som overvaking? Arbeidsgjevarar kan ha mange andre gode formål enn informasjonssikring, for eksempel ressursallokering. Dersom ei slik kartlegging blir rekna som overvaking, er kartlegginga forbode etter dagens forskrift.
Dei siste åra har mange nye verkty kome på marknaden, som hentar inn store mengder informasjon, som analyserer korleis dei tilsette arbeider. Vi treng å drøfte konsekvensane av å bruke slike verkty i fellesskap. Planen er derfor at Datatilsynet skal leggje utkastet til rettleiar på høyring, slik at alle som ønskjer kan gje innspel.
Meir praktisk og relevant rettleiing er ein sentral del av Datatilsynets nye satsing. Vi vil i løpet av våren ta kontakt med ei rekkje aktørar for å få høyre kva vi i Datatilsynet kan gjere for at aktørane på enklast mogleg måte kan overhalde personvernreglane.
Heilt til slutt minner vi om at arbeidsgjevarane må følgje reglane i GDPR , sjølv om eit informasjonssikringstiltak er innanfor unntaket om sikkerheitsbrot i e-postforskrifta. Dagens tips til verksemder som ønskjer å ta i bruk teknologi som kartlegg tilsette er
- Vurder personvernkonsekvensane for dei tilsette (GDPR art. 35)
- Gi god informasjon til dei tilsette
Sammen skaper vi trygghet på nettet
Dagens unge har ikke tilstrekkelige digitale ferdigheter og de mangler i stor grad digital dømmekraft. Tirsdag 10. februar er det den internasjonale Safer Internet Day. Den minner oss om at vi må skape et trygt internett. Og vi må gjøre det sammen. Av Karoline Tømte,...
«Ja til slark!» – høydepunkter fra debatten
I går feiret vi den internasjonale personverndagen med frokostseminar sammen med Teknologirådet og over 200 fremmøtte på Litteraturhuset i Oslo. I år som i fjor var interessen for dagen stor. Det er tydelig at personvern er et tema som engasjerer mange! Vi hadde...
Hvordan beskytte ditt privatliv på internett
Avdekking av kontroversielle masseovervåkingsprogrammer, blant annet av varsleren Edward Snowden, har fremkalt en internasjonal debatt om borgernes rett til å bli beskyttet mot ulovlig innsamling og analyse av sine data og meta-data. I denne sammenheng er det verdt å...
Personverndagen 28. januar!
Onsdag 28. januar feirer vi den internasjonale personverndagen. Her serverer vi den rykende ferske rapporten «Personvern – tilstand og trender 2015». Også denne gang har vi slått oss sammen med Teknologirådet for å skape en skikkelig markering når vi inviterer til et...
Retten til å bli møtt for den du er
Vi må snakke om kartleggingsverktøy i barnehagen. Denne uken gikk høringsfristen ut for et forslag til endring av barnehageloven som berører barnas personvern. Kunnskapsdepartementet har lagt frem et lovforslag som innebærer at opplysninger om barnehagebarns...
Security Divas 2015
Tidligere var digitale angrep noe som førte til at informasjonssystem ble utsatt. I dag kan det utføres digitale angrep som kan få dødelige følger i vår fysiske verden. Det var noe av det viktigste vi tok med oss fra konferansen Security Divas, en konferanse om...
Personvernåret 2015
Dette innlegget sto på trykk som kronikk i Dagens næringsliv 29. desember 2014 Det er gått halvannet år siden Edward Snowden avslørte at NSA drev massiv overvåkning av vanlige borgere. Dette ga personverndebatten en ny omdreining og gjorde folk flest mer opptatt av...
«Retten til å bli glemt» gjelder også for .com-domener
Google og andre søkemotorer må fjerne søketreff også fra .com-domener. Europeiske datatilsynsmyndigheter mener dette må til for å gjøre europeiske personvernregler effektive og reelle. Den europeiske arbeidsgruppen Article 29 Working Party, som gir råd og veiledning...
Stortingets behandling av Datatilsynets årsmelding
I dag, den 25. november, behandlet Stortinget Datatilsynets årsmelding for 2013. Dette er en av de viktigste personverndebattene på Stortinget, og den eneste som årlig er dedikert personvern og vårt arbeid. Derfor var det svært gledelig å høre årets debatt, som dreide...
Nei til gjeldsregister!
De siste dagene er det lagt fram beregninger som viser at nordmenn har 72 milliarder i kredittkortgjeld. Vi kan lese historier om folk som har tatt opp lån i mange kredittforetak, for til slutt å miste kontrollen på egen økonomi. Dette er svært alvorlig og dramatisk...