Datasikkerhet truer ansattes personvern

Tiltak som skal bedre datasikkerheten kan føre til fullstendig overvåkning og «logging» av ansattes arbeidshverdag.

Med datasikkerhetstiltak følger overvåkning og registrering av dataaktivitet, skriver artikkelforfatterne.
Med datasikkerhetstiltak følger overvåkning og registrering av dataaktivitet, skriver artikkelforfatterne.Foto: Istock/Getty Images

I næringslivet er personopplysninger og forretningsinformasjon verdifull valuta. På samme måte som et bankhvelv må beskyttes mot ranere må derfor datasystemer beskyttes mot hackere og lekkasjer.

Det er enkelt å støtte opp om datasikkerhet. Men hva betyr datasikkerhetstiltak for de som jobber i virksomhetene?

Maria Østli
Maria Østli

Med datasikkerhetstiltak følger overvåkning og registrering av dataaktivitet. Noen eksempler:

  • overvåkning av inn- og utgående e-poster
  • fiktive «phishing»-forsøk
  • «flagging» av uvanlig aktivitet eller språk
  • loggføring av aktivitet på internett
  • registrering av IP-adresser.

Tiltakene kan i praksis føre til fullstendig overvåkning og «logging» av ansattes arbeidshverdag.

Ida Flaatten
Ida Flaatten

Vi opplever at det er et ensidig søkelys på tiltak for å ivareta sikkerheten. Dette går på bekostning av personvernet for ansatte. Lovverket som skal beskytte ansattes personvern er mangelfullt og upresist.

Datasikkerhetstiltak kan ikke utformes med henblikk på vern av virksomhetens interesser alene. I likhet med at myndighetenes adgang til overvåkning for å ivareta nasjonal sikkerhet må veies mot borgernes rettigheter, må arbeidsgivernes adgang til overvåkning veies mot ansattes rettigheter. Vi må ha lovverk som balanserer hensynene til virksomhetens sikkerhet og ansattes personvern.

I dag reguleres arbeidstageres personvern av personopplysningsloven med personvernforordningen (GDPR). Personvernforordningen er vanskelig tilgjengelig og utfordrende å omsette i praksis. Den har et stort virkeområde og baserer seg på generelle prinsipper. Dette er krevende å forholde seg til for arbeidsgivere, og gjør det vanskelig for ansatte å forstå.

I tillegg reguleres innsyn i ansattes epost og annet elektronisk materiale av epostforskriften. Epostforskriften er utdatert og ivaretar ikke ansattes behov for vern. Grensen mellom ulovlig overvåkning og lovlige datasikkerhetstiltak er vag og vanskelig å trekke.

I finans settes ubalansen mellom sikkerhet og personvern på spissen. Finansvirksomheter har lenge vært underlagt regelverk som skal sikre høy grad av datasikkerhet.

I disse dager er Norges innføring av nytt EU-lovverk i form av «Digital Operational Resillience Act» (Dora) ute på høring. Det er et felleseuropeisk regelverk om ikt-risiko i finanssektoren. Det stiller blant annet omfattende krav til testing, risikovurdering, hendelseshåndtering og overvåkning.

Ansattes personvern er ikke et tema i høringen. Dette er problematisk.

En konkret og brukervennlig regulering er nødvendig for å sikre ansattes personvern i møte med økte sikkerhetstiltak. Finansforbundet etterlyser en særskilt lovgivning for behandling av personopplysninger i arbeidslivet hvor datasikkerhet inngår.

Publisert 15. mai 2024, kl. 17.59Oppdatert 15. mai 2024, kl. 17.59
PersonvernDatasikkerhetFinansArbeidsliv
Eavis