Unntak fra forbudet
I e-postforskriften er det som nevnt definert to tilfeller der tiltak som innebærer overvåking av ansattes bruk av elektronisk utstyr, vil kunne være lovlig.
De eneste tilfellene der overvåkingen vil være lovlig, er når:
- tiltaket skal administrere virksomhetens datanettverk, eller
- tiltaket skal avdekke eller oppklare sikkerhetsbrudd i nettverket.
Forskriften er tydelig på at overvåkingen bare er lovlig for disse to formålene. Dersom overvåkingen skjer for andre formål, uansett hvor aktverdige disse er, vil den være ulovlig.
Unntakene er ikke nærmere forklart i lovteksten, og må derfor forstås ut fra ordlyden og formålet med bestemmelsen. Unntakene må dessuten tolkes i lys av personvernforordningen, særlig prinsippene om dataminimering og formålsbegrensning.
Prinsippet om dataminimering innebærer at arbeidsgiveren alltid må vurdere hvilke opplysninger som er egnet og nødvendige for å oppnå et av de to lovlige formålene med overvåkingen. Prinsippet om formålsbegrensning forbyr arbeidsgiverne å bruke opplysningene til nye formål som er uforenelige med det opprinnelige.
Eksempel på dataminimering i tiltak for sikkerhetsformål
En arbeidsgiver bestemmer seg for å logge IP-adresser i stedet for å logge nettsider, fordi IP-adressene gir tilstrekkelig sikkerhetsnivå. På den måten kan arbeidsgiveren se at en arbeidstaker har vært inne på VG, men ikke hvilke nyheter arbeidstakeren har klikket på.
Logging av IP-adresser gir et generelt bilde av trafikkmønstre i arbeidsgiverens datanettverk. Dette kan gi informasjon om hvilke enheter som kommuniserer med hverandre, men viser nødvendigvis ikke innholdet i kommunikasjonen eller hvilke spesifikke nettsider som er besøkt. Logging av IP-adresser er godt egnet til å overvåke og analysere nettverkssikkerheten, oppdage uvanlig trafikk, eller blokkere tilgang til utvalgte IP-adresser.
Til sammenligning gir logging av nettsider (URL-er) mye mer detaljert informasjon om nettleserhistorikken til en ansatt.
Eksempel på formålsbegrensning i tiltak for sikkerhetsformål
En arbeidsgiver har gjennom logging hentet inn opplysninger om hvilke IP-adresser de ansatte besøker. Formålet er å ivareta informasjonssikkerheten.
Det vil da være i strid med formålsbegrensingsprinsippet å bruke opplysningene som er samlet inn for å måle hvor mye tid en ansatt bruker på sosiale medier eller på nettaviser i løpet av en arbeidsdag.
1. "Å administrere virksomhetens datanettverk"
Det første unntaket gjelder overvåking av de ansattes bruk av elektronisk utstyr for å administrere virksomhetenes datanettverk.
Ut fra en språklig forståelse må vilkåret antas å omfatte alle praktiske og tekniske tiltak som er nødvendige for at systemene, nettverk, utstyr og programvare skal fungere.
Eksempel på tiltak for å administrere virksomhetens datanettverk
En ansatt opplever at søkefunksjonen i et fagsystem plutselig går veldig sakte. For å rette opp i feilen, må en administrator gjennomgå loggene for nettverkstrafikk. Slik kan administratoren identifisere hvor i virksomhetens datanettverk problemet oppstår og hvilke tiltak som kan gjøres.
Loggene for nettverkstrafikk viser båndbreddebruk, trafikkvolum, pakkehastighet og nettverkslatens, som kan identifisere flaskehalser i nettverksinfrastrukturen. Basert på disse opplysningene i loggene vurderer administratoren å sette i gang oppgraderinger, endre konfigurasjonen eller gjøre andre organisatoriske tiltak for å unngå flaskehalser.
2. "Å avdekke eller oppklare sikkerhetsbrudd i nettverket"
Med "sikkerhetsbrudd" forstår vi brudd på informasjonssikkerheten generelt. Det er vanlig å si at det handler om å sikre at informasjon i alle former:
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Informasjonssikkerhet omfatter dermed mer enn personopplysningssikkerhet som er regulert i artikkel 32 til 34 i personvernforordningen.
For å oppnå informasjonssikkerhet, må virksomheten identifisere risikoer informasjonsverdiene er utsatt for, og planlegge og gjennomføre egnede tiltak som skal redusere risikoene til et akseptabelt sikkerhetsnivå for virksomheten.
Begrepene å "avdekke" eller "oppklare" innebærer etter vårt syn verktøy som motvirker sikkerhetsbrudd, og bruk av logger og lignende til etterarbeidet med å oppklare sikkerhetsbrudd.
Nedenfor vil vi beskrive noen praktisk viktige tiltak, hvor arbeidsgivere kan bruke unntaket for å avdekke eller oppklare sikkerhetsbrudd. Andre typer teknologier og tiltak kan også være omfattet av unntaket, så lenge formålet er å avdekke eller oppklare sikkerhetsbrudd.
Screening av e-post
Moderne IT-sikkerhetssystemer er ofte utstyrt med funksjoner for screening av e-post. Dette inkluderer automatisk kontroll av flere elementer i både innkommende og utgående e-poster:
- Automatisk analyse av lenker og vedlegg for å oppdage potensielle ondsinnede e-poster
- For eksempel løsepengevirus
- For eksempel løsepengevirus
- Screening for typiske kjennetegn brukt i ulike svindelteknikker
- Screening for typiske kjennetegn brukt i «social engineering» teknikker
- Screening av e-post domener, e-postheader og e-postinnhold for forsøk på etterligning og svindel. Se direktørsvindel
Disse systemene opererer hovedsakelig automatisk, uten menneskelig inngripen, basert på algoritmer eller fastsatte regelsett. Autorisert personell vil likevel ha mulighet for innsyn i e-poster.
Eksempel
En bedrift benytter seg av et sikkerhetssystem som automatisk skanner all innkommende e-post for å identifisere spam, skadevare, og phishing-forsøk. Enhver e-post som sendes til organisasjonens ansatte, blir gjennomgått av dette systemet, og e-poster som inneholder slike skadelige elementer blir midlertidig isolert i karantene før de når mottakers e-postboks.
Dette systemet vil være tilgjengelig for en eller flere administratorer. Derfor er det viktig å etablere klare retningslinjer for tilgang til og behandling av dataene
Logging
Logging er å holde oversikt over både pågående og tidligere hendelser i virksomhetens systemer. Det innebærer for eksempel at et selskap følger med på inn- og utgående trafikk i nettverket sitt for å avdekke unormal trafikk og potensielle angrep på nettverket.
Eksempler på logging kan være:
- Brannmur. Her logges trafikken i virksomhetens nettverk. Det vil si alle IP-adresser en arbeidstaker er inne på. Innsyn i denne loggen kan utgjøre overvåking, fordi innsynet gir oversikt over arbeidstakers bruk av elektronisk utstyr over tid.
- Loggføring av aktivitet/tilgangsstyring. Dette innebærer loggføring av hvem som går inn på tilgangsstyrte mapper i virksomhetens systemer, og når de har vært inne. For eksempel vil det være nødvendig i helsesektoren å overvåke når ansatte har vært inne i journaler.
Les mer om logging på Nasjonal sikkerhetsmyndighet sine nettsider (nsm.no)
Datatapsteknologi/Data loss prevention
Datatapsteknologi er en strategi og et sett med verktøy designet for å hindre at sensitiv eller virksomhetskritisk informasjon lekkes fra nettverket til en virksomhet.
Slik informasjon kan omfatte personopplysninger, immaterielle verdier, finansielle opplysninger og annen type informasjon som virksomheten regner som sensitiv. Datatapsteknologi fungerer ved å overvåke, oppdage og blokkere overføringen av sensitiv informasjon over ulike kanaler, som e-post, nettverkstrafikk og fysiske enheter, for å sikre at data ikke blir mistet, misbrukt eller stjålet.
Dersom virksomheten har innført et slikt verktøy etter en forutgående risikovurdering, kan forskriften åpne for en slik bruk. En viktig forutsetning er at verktøyet er nødvendig for å oppnå et akseptabelt nivå av risiko for sikkerhetsbrudd.
Mobile Device Management (MDM)
Mobile Device Management beskriver programvare som installeres på arbeidstakernes mobile enheter (mobiltelefon, nettbrett og pc), og som kan gi arbeidsgiveren tilgang til å administrere enhetene, som for eksempel
- sikkerhetsinnstillinger,
- utrulling og oppdatering av programvare (for eksempel apper).