Forbudet mot overvåking i e-postforskriften
I Norge har vi en egen forskrift som gjelder for arbeidsgivers innsyn i ansattes e-postkasse og annet elektronisk lagret materiale (e-postforskriften).
Når en bruker samhandler med Copilot, lagres det data om disse samhandlingene som inneholder brukerens instrukser og M365 Copilots svar, blant annet referanser og henvisninger til kildemateriale (samhandlingsloggen). Samhandlingsloggen lagres i en skjult mappe i brukerens «mailbox». Slike skjulte mapper er ikke utformet til å bli direkte tilgjengelig for brukere eller administratorer, men kan søkes opp av etterlevelsesadministratorer med «eDiscovery tools».
Sletting av loggen
Hvorvidt og når samhandlingsloggen slettes permanent er avhengig av virksomhetens lagringspolicy. En bruker kan ha mulighet til å slette samhandlingsloggen selv som et alternativ i M365 Copilot-innstillingene, men det er uklart for NTNU om sletting av egen logg også medfører sletting av loggen som administrator kan se. Microsoft sier selv at «Messages visible in Copilot are not an accurate reflection of whether they are retained or permanently deleted for compliance requirements». Samhandlingsloggen vil først flyttes til «the SubstrateHolds»-mappen. Først etter at lagringsperioden satt av virksomheten utløper, vil samhandlingsloggen slettes permanent.
E-postforskriften omfatter både e-postkasser, personlige områder i virksomhetens datanettverk og annet elektronisk utstyr som en arbeidsgiver har stilt til arbeidstakerens disposisjon til bruk i arbeidet ved virksomheten. Forskriften gjelder tilsvarende for opplysninger som er slettet, dersom de finnes på sikkerhetskopier eller tilsvarende. Det er på det rene at samhandlingsloggen faller inn under forskriftens virkeområde.
E-postforskriften inneholder for det første vilkår for når arbeidsgiveren har rett til å gjøre enkeltstående innsyn i opplysninger som er lagret på ovennevnte område. For det andre inneholder forskriften i § 2, andre ledd et forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr, med mindre formålet med overvåking er
- å administrere virksomhetens datanettverk eller
- å avdekke eller oppklare sikkerhetsbrudd i nettverket
Datatilsynets veiledning omtaler at forbudet gjelder hvis : (1) tiltaket dreier seg om overvåking, (2) overvåkingen retter seg mot arbeidstakeres bruk av elektronisk utstyr og (3) arbeidsgiver har tilgang til opplysningene.
Er samhandlingsloggen overvåking?
Det er klart at samhandlingsloggen viser historikken over en arbeidstakers bruk av elektronisk utstyr. Spørsmålet blir derfor om samhandlingsloggen er å anse som overvåking, etter e-postforskriften. Samhandlingsloggen kan regnes som overvåking, selv om dette ikke har vært formålet fra arbeidsgivers side. Relevante momenter i vurderingen er blant annet hva slags opplysninger og mengden opplysninger som framgår av loggen, hvor lenge opplysningene lagres og hvor stor del av arbeidshverdagen som kan spores.
Samhandlingsloggen kan avsløre mye om noens atferd og arbeidshverdag. M365 Copilot er bygget inn i alle verktøyene de ansatte bruker til daglig, slik som Word, Excel, Power Point og Teams. Den omfattende kartleggingen som skjer når de ansatte bruker M365 Copilot taler for at samhandlingsloggen er å anse som overvåking.
Tilgang til loggen
Dersom bare arbeidstakeren selv hadde hatt tilgang til loggen, ville vi likevel vært utenfor forbudet. Som beskrevet ovenfor, gjelder forbudet hvis arbeidsgiver har tilgang til opplysningene.
NTNU identifiserte at arbeidsgiver har tilgang til samhandlingsloggen ved bruk av eDiscovery og Purview. Det finnes i tillegg en funksjon som fører til at en brukers instruks sendes til kontroll hvis bestemte kriterier oppfylles – med andre ord at en «alarm» utløses. Disse kriteriene kan endres av NTNU selv. Det er likevel uklart hvor mye av samhandlingsloggen som sendes til kontroll, til hvem og til hvilket formål.
Samlet sett anser vi det som sannsynlig at samhandlingsloggen vil kunne rammes av forbudet mot overvåking av arbeidstakers bruk av elektronisk utstyr i e-postforskriften § 2 andre ledd. For at samhandlingsloggen skal kunne opprettes lovlig, må formålene med samhandlingsloggen falle inn under ett av unntakene.
Unntak fra forbudet
Det ene unntaket kommer til anvendelse dersom formålet er å «administrere virksomhetens datanettverk». Dette forstår vi som alle praktiske og tekniske tiltak som er nødvendige for at systemene, nettverk, utstyr og programvare skal fungere. Vi har forstått det slik at hovedformålet med samhandlingsloggen er å sikre at kvaliteten på tjenesten er slik den skal være. Ved å gå gjennom brukerens instrukser og M365 Copilots svar kan NTNU avdekke svakheter og forbedringspotensialer ved systemet. Mulige systematiske feilsvar kan bli fanget opp og rettet opp. Dette formålet kan falle inn under unntaket for å administrere virksomhetens datanettverk.
Det andre unntaket kan være aktuelt dersom formålet med samhandlingsloggen er å «avdekke eller oppklare sikkerhetsbrudd i nettverket». Med sikkerhetsbrudd forstår vi brudd på informasjonssikkerheten generelt. Det er vanlig å si at det handler om å sikre at informasjon ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet eller av uvedkommende (integritet) og er tilgjengelig ved behov (tilgjengelighet). Hvorvidt dette unntaket kommer til anvendelse må vurderes konkret opp mot hva som er formålet med samhandlingsloggen.
For begge unntakene må NTNU være oppmerksom på prinsippene om dataminering og formålsbegrensning.