God cybersikkerheit er også godt personvern
Dette innlegget er eit innspel til debatten om forskrift om overvaking i arbeidslivet vs. behovet for god informasjonssikring. Innspelet sto på trykk i Dagens Næringsliv 8. februar 2023, og dette er ein forlengd versjon.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak.
Forbodet mot å overvake arbeidstakarars bruk av elektronisk utstyr ligg bortgøymt i ei ufullstendig forskrift. Datatilsynet har tatt initiativ overfor fleire departement for å løfte utfordringane med forskrifta. I mellomtida gjer vi det vi kan for å rettleie verksemder og arbeidstakarar.
Forskrifta med det noko misvisande namnet «forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale» inneheld eit forbod mot å overvake arbeidstakarars bruk av elektronisk utstyr, i andre avsnitt av paragraf 2. Når Datatilsynet møter bedrifter og offentlege aktørar, merkar vi at mange ikkje har høyrt om dette overvakingsforbodet. Vi er glade for at advokatane ved Thommessen har løfta dette ut av ekspertsirklane og over i ein offentleg debatt. Vi ønskjer å kome med vårt perspektiv i samtalen.
Vi er einig med advokatane ved Thommessen i at det er på tide å revidere den nemnde forskrifta. På grunnlag av erfaringane vi har gjort oss sidan forskrifta kom i 2018, føreslo vi i fjor endringar for Arbeids- og inkluderingsdepartementet. Vi har også tatt initiativ overfor både Justisdepartementet og Kommunal- og distriktsdepartementet for å løfte utfordringane med forskrifta. I denne dialogen er overvakingsforbodet eit sentralt tema. Medan endringsforslaga ligg hos lovgjevarane, vil vi i Datatilsynet gjere det vi kan, ved å rettleie verksemder og arbeidstakarar.
Formålet med forbodet i forskrifta er å gje norske arbeidstakarar eit større vern mot å bli overvaka av sjefen enn det som følgjer av den europeiske personvernforordninga (GDPR). Overvaking som skjer med formål å avdekkje eller oppklare «sikkerhetsbrudd i nettverket» er likevel tillate etter forskrifta, som eitt av to unntak. Vi støttar advokat Vanebos oppfatning om at verksemder kan gjennomføre viktige informasjonssikringstiltak innanfor dagens regelverk.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak. Eit eksempel kan vere logging for å oppklare cyberangrep, fordi leiinga er usikre på om tiltaket er lovleg. Informasjonssikringstiltak tryggjer ikkje berre viktige verdiar for verksemdene, men også personopplysningane til tilsette, kundar, innbyggjarar og leverandørar. Informasjonssikring er påbode i GDPR, for å sikre at personopplysningar er tilgjengelege for dei som treng dei når dei treng dei og for at integriteten blir ivaretatt.
Datatilsynet arbeider med rettleiing
Vi arbeider allereie med eit utkast til rettleiing på Datatilsynet.no om overvakingsforbodet i e-postforskrifta paragraf 2. Der vil vi gje praktiske eksempel på korleis verksemder kan gå fram for å gjennomføre informasjonssikring, som inneber overvaking av arbeidstakarar.
Det vanskelegaste spørsmålet for oss er likevel kor grensa går for overvaking, når formålet ikkje er relatert til drift eller sikkerheit. Kor mykje kan ein leiar følgje med på arbeidsaktiviteten til dei tilsette før det blir rekna som overvaking? Arbeidsgjevarar kan ha mange andre gode formål enn informasjonssikring, for eksempel ressursallokering. Dersom ei slik kartlegging blir rekna som overvaking, er kartlegginga forbode etter dagens forskrift.
Dei siste åra har mange nye verkty kome på marknaden, som hentar inn store mengder informasjon, som analyserer korleis dei tilsette arbeider. Vi treng å drøfte konsekvensane av å bruke slike verkty i fellesskap. Planen er derfor at Datatilsynet skal leggje utkastet til rettleiar på høyring, slik at alle som ønskjer kan gje innspel.
Meir praktisk og relevant rettleiing er ein sentral del av Datatilsynets nye satsing. Vi vil i løpet av våren ta kontakt med ei rekkje aktørar for å få høyre kva vi i Datatilsynet kan gjere for at aktørane på enklast mogleg måte kan overhalde personvernreglane.
Heilt til slutt minner vi om at arbeidsgjevarane må følgje reglane i GDPR , sjølv om eit informasjonssikringstiltak er innanfor unntaket om sikkerheitsbrot i e-postforskrifta. Dagens tips til verksemder som ønskjer å ta i bruk teknologi som kartlegg tilsette er
- Vurder personvernkonsekvensane for dei tilsette (GDPR art. 35)
- Gi god informasjon til dei tilsette
EU styrker personvernet
I 2012 la EU-kommisjonen fram et forslag til nytt EU-regelverk på personvernområdet. Siden da har arbeidet gått sakte framover, blant annet på grunn uenighet mellom EU-land. Det har også vært massiv lobby-virksomhet fra amerikanske selskaper som har vært bekymret for...
Deler du passordet ditt?
I noen tilfeller kommer personopplysninger på avveier som en konsekvens av en lekkasje eller et datainnbrudd. I andre tilfeller kan personopplysninger komme på avveier som en konsekvens av det som i utgangspunktet var en frivillig deling av informasjon. I den...
Mest bekymret for identitetstyveri og hacking
Folk flest deler mye informasjon om seg selv på nett og legger også igjen et spor av personopplysninger når de mottar tjenester fra offentlige eller private aktører. I den sammenheng var Datatilsynet nysgjerrige på hva folk ser på som de største truslene mot sitt eget...
Er stemmen vår det nye passordet?
De fleste har en ide om hva biometri er. Det er snakk om måter som kan identifisere et menneske med nær 100 prosent sikkerhet, som for eksempel fingeravtrykk eller irisanalyse. Men biometri er mye mer. I dag deltar jeg på et seminar om biometri på Høyskolen i Gjøvik....
Årsmeldingen 2012 – hva ble debattert under Stortingets behandling?
Tirsdag denne uka behandlet Stortinget Datatilsynets årsmelding for 2012 i plenum. Nedenfor har jeg hentet fram det viktigste fra stortingsreferatet fra tirsdag, sak nr 3: Datalagringsdirektivet Det meste av debattiden ble brukt på Datalagringsdirektivet, selv om...
Hvordan ivareta personvernet sitt på sosiale medier?
Nå går Menneskerettighetsuka 2014 av stabelen, og jeg har vært så heldig å bli invitert til å delta på to av arrangementene. Et av teamene er overvåking av sosiale medier og internett. Jeg skrev et innlegg i magasinet som ble laget i forbindelse med...
Datatilsynets årsstatistikk: Mange klager på overvåking og kontroll i arbeidslivet
Juridisk veiledningstjeneste i Datatilsynet mottar spørsmål og klager fra borgere, næringsdrivende og offentlige etater. Årsstatistikken for 2013 viser at vi fikk over 7 500 henvendelser, en økning på 700 i forhold til året før. Nesten hver fjerde henvendelse gjelder...
Mistanke bekreftet: Folk er mer opptatt av personvern
Mange har nok tenkt det motsatte, men jeg har over en del år hatt en følelse av at folk gradvis har blitt mer interessert i personvern enn før. Stemmer det? Ja, det kan se slik ut. Se under: I Datatilsynet gjorde vi gjorde en undersøkelse blant folk i forbindelse med...
Vi ser tegn til nedkjøling
Aldri har vi lagt igjen mer data om oss selv i vår daglige bruk av ulike tjenester. Kapasiteten til å lagre og analysere disse dataene har økt dramatisk. Snowden-saken har vist med all tydelighet at den personlige informasjonen vi legger igjen er interessant for flere...
Personverndagen – høydepunkter fra debatten
I går feiret vi den internasjonale personverndagen med frokostseminar sammen med Teknologirådet og over 200 frammøtte på Stratos i Oslo. Da vi sendte ut nyhetsbrev om seminaret i begynnelsen av desember var det fullbooket i løpet av et par dager. Interessen var enorm,...