Har arbeidsgiver lov til innsyn i e-post og dokumenter til de ansatte?

Det er ikke fritt fram for arbeidsgiver å få tilgang til en ansatts e-post eller dokumenter. Dette er omfattet av strenge regler selv om både e-post og PC «tilhører» arbeidsgiver.
Det er derfor viktig å benytte systemer for kundebehandling, saksbehandling eller andre egnede systemer eller metoder slik at behovet for innsyn i e-post eller dokumenter reduseres.

Arbeidsgiveren kan bare gjøre innsyn i arbeidstakerens e-post eller dokumenter i to tilfeller:

  • Når det er nødvendig for å ivareta driften av virksomheten.
  • Ved mistanke om grove brudd på arbeidstakerens plikter.

Innsyn kan være nødvendig for å bekrefte eller avkrefte en mistanke, slik som å skaffe bevis for straffbare handlinger eller alvorlige brudd på arbeidstakerens plikter.

Innsyn kan også være nødvendig av andre grunner, for eksempel for å følge opp virksomhetskritisk korrespondanse når den ansatte ikke er på jobb og korrespondansen ikke kan følges opp på annen måte.

Arbeidsgiveren må overveie om det finnes mindre inngripende metoder for å oppnå samme formål.
Arbeidsgiveren har ikke rett til innsyn i:

  • Arbeidstakerens egne kommunikasjonsmidler og private e-postkasser, slik som for eksempel g-mail eller hotmail.
  • Utstyr som den ansatte selv eier, selv om dette noen ganger blir benyttet i arbeidet ved virksomheten.

Arbeidsgiveren skal så langt det er mulig, varsle arbeidstakeren om forestående innsyn. Varselet skal inneholde vilkår og formål for innsynet, arbeidstakerens rettigheter samt hvordan kontrolltiltaket gjennomføres (metode og varighet).

  • Dersom innsynet foretas uten at arbeidstakeren er varslet i forkant, skal det gis skriftlig underretning om dette så snart innsynet er gjennomført.
  • Arbeidstakeren skal så langt som mulig gis anledning til å være tilstede ved innsynet.
  • Arbeidstakeren har rett til å la seg bistå av tillitsvalgt eller annen representant.
  • Metode for innsyn skal velges iht. angitt formål/vilkår. E-poster, filer eller annet innhold som ikke er relevant skal ikke kopieres og i minst mulig grad eksponeres.

Ved avslutning av arbeidsforholdet
Arbeidstakerens e-postkonto skal avsluttes ved arbeidsforholdets opphør. Foreligger særskilte grunner kan e-postkontoen opprettholdes en begrenset periode.
Arbeidstakeren skal varsles om sletting av filer og e-post i rimelig tid før arbeidsforholdet opphører slik at hun eller han kan varsle sine kontakter og rydde opp i og overføre filer og e-poster.

Loggfiler
Bruk av PC, lagring av filer, besøk på nettsider, hvem du sender til og mottar e-post fra – mye blir eller kan bli loggført. Dette gjøres for å ivareta datasikkerheten på arbeidsplassen og den ansatte skal informeres om dette f.eks. via en intern personvernerklæring.

I enkelte tilfeller kan det være behov for innsyn i den ansattes «digitale aktiviteter». Selv om innsyn i loggfiler ikke er direkte omtalt i lovgivningen vil det være riktig å behandle dette iht. teksten ovenfor og slik det er angitt i Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale.

Artikkelen er basert på personvernlovgivningen, forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale, arbeidsmiljøloven og anbefalinger fra Datatilsynet.

 

Skrevet av Erlend  Udnesseter 

God GDPR-samvittighet?

Det har vært et massivt trykk rundt GDPR og personvern denne våren. Etter sommeren roet det seg. Det betyr ikke at du kan slappe av – det er nå det gjelder.

Nå kommer tilsyn, krav og i noen tilfeller bøter. Dine kunder, leverandører, ansatte og innleide er blitt mer bevisste sine rettigheter. Den svenske Datainspeksjonen har nettopp hatt tilsyn med over 400 virksomheter. Mange av disse hadde ikke utnevnt personvernombud. Datatilsynet i Norge har også planer om tilsyn.

Her er noen viktige spørsmål du bør stille i din virksomhet:

• Har dere oversikt over hvilke personopplysninger som samles inn?
• Hvilke risikovurderinger har dere gjennomført?
• Har dere iverksatt sikkerhetstiltak i forhold til risikoen behandlingen utgjør?
• Når slettes personopplysningene?
• Overføres personopplysninger ut av EU/EØS?
• Har dere databehandleravtaler med kunder og leverandører der dette kreves?
• Oppfyller dere kravene om informasjon til den registrerte?

Det er altså mye å ta tak i, men husk at omfanget avhenger av virksomhetens behandling av personopplysninger. Ikke alle må gjøre mye, men alle må gjøre noe.

Garnes Data tilbyr flere tjenester som kan hjelpe deg med å ivareta et godt personvern i din virksomhet.

[paamelding]

GDPR Startpakke

Kartlegging av din virksomhet opp i mot kravene som stilles i personvernforordningen (GDPR). Basert på kartleggingen gjennomføres en GAP-analyse og det utarbeides en rapport med foreslåtte tiltak. Du kan også velge å få med et komplett sett med retningslinjer for personvern som enkelt kan tilpasses din virksomhet.

Les mer om GDPR-startpakke.

Risikovurdering

Vurderinger knyttet til den risiko behandlingen av personopplysninger utgjør, er et krav i personvernforordningen. Garnes Data kan gjennomføre risikovurderinger på en rekke områder basert på et sett med predefinerte risikoer i forhold til krav om konfidensialitet, tilgjengelighet, integritet og robusthet. Vurderingen gir deg et helhetlig bilde av risiko og identifiserer områder hvor tiltak bør iverksettes.

Personvernombud

Mange virksomheter er pålagt å ha personvernombud iht. personvernforordningens artikkel 37. Datatilsynet oppfordrer alle virksomheter som behandler personopplysninger i stort omfang, eller behandler opplysninger som er sensitive, å opprette et personvernombud.

Personvernombudet vil være en viktig ressurs for å sikre at din virksomhet etterlever de lover og krav som gjelder. Dermed reduseres risikoen for brudd på personopplysningssikkerheten. Uavhengig av potensielle bøter er det ofte ressurskrevende å rette opp i brudd og avvik i etterkant.

Garnes Data tilbyr tjenesten personvernombud. Våre medarbeidere har mange års erfaring med informasjonssikkerhet og personvern. Vi har også mange års erfaring med rollen som personvernombud.

Skrevet av Erlend Udnesseter

Kontakt meg for en GDPR-vurdering

Hvordan ta fatt på den nye personvernlovgivningen?

Det finnes dessverre ingen snarvei til GDPR. Du kan ikke ignorere det, det er bare å sette seg inn i det så fort som mulig. Fordi den angår oss alle i større eller mindre grad.

Mange av våre kunder har de siste månedene gitt oss tilbakemeldinger på hva de synes om GDPR. Noen ser på det som en evighetsjobb, andre at det ikke er noe stress i det hele tatt. Begge oppfatninger er rett; GDPR er ikke noe du gjennomfører en gang, så er du ferdig. Det er en kontinuerlig prosess over tid, men lite stress. Det handler mest om å vite hvor du skal starte.

Før du begynner er det viktig at du kan dette:

1. Personopplysninger er alle opplysninger som direkte eller indirekte kan knyttes til en person. Dette omfatter blant annet opplysninger om personer i kundebehandlingssystemer, opplysninger knyttet til ansatte i lønn- og personalsystemer, medlemslister, bilder og video av identifiserbare personer.

2. Behandling av personopplysninger er enhver manuell eller automatisk behandling av personopplysninger som innsamling, bruk, lagring, endring, utlevering, tilgjengeliggjøring, sammenstilling, begrensning eller sletting.

Så er det bare å sette i gang:

Få oversikt
Det er viktig at du starter her. Få en oversikt over hvordan personopplysninger behandles i din bedrift i dag. Dette må forankres i ledelse og involvere personer som jobber med IT, personal, og økonomi. De involverte må samarbeide tett og gjennomgå alle bedriftens tjenester og system for å få en oversikt over nåværende status.

Informasjon og lovlighet
Eierne av personopplysningene du behandler må få kortfattet og forståelig informasjon om hvordan dataene håndteres og beskyttes. Du må ha kunnskap som gjør at dette håndteres etter loven og vite nok til å skille mellom når du må ha samtykke fra personen og når behandlingen er basert på en berettiget interesse. Noen prosesser er også lovpålagt.

Sikkerhet og risiko
Du må sjekke om personopplysningene du behandler er tilstrekkelig sikret, og vurdere hvilken skade eller risiko det vil påføre den enkelte person om hans eller hennes opplysninger kommer på avveie, er uriktige eller utilgjengelige.

Sikkerhetstiltak
Jo større risiko for den enkelte, jo bedre sikkerhetstiltak må du ha. Du må dokumentere dine tiltak og sørge for at disse gjennomføres. Her er både organisatoriske tiltak som opplæring viktig, og tekniske tiltak som brannmurer og passord for tilgangsstyring.

Du må huske på at personvern og etterlevelse av både eksisterende og nytt lovverk handler om hvordan du og dine kollegaer behandler personopplysninger i arbeidshverdagen.

Raske løsninger hjelper sjelden – heller ikke innenfor personvern.



Garnes Data har GDPR Startpakken du trenger for å komme i gang

Ny personvernlovgiving – Hva må du tenke på som leder og ansvarlig i en bedrift eller organisasjon?

Sist innlegg handlet om hva den nye personvernlovgivningen vil si for deg som privatperson, hvilke rettigheter du har og hvilke forventninger du kan ha til de som behandler dine personopplysninger. Men hva forventes så av deg som leder og ansvarlig i en bedrift eller organisasjon?

I korte trekk handler det om gode rutiner, kontroll, tilgangsstyring, oversikt, sikkerhetstiltak og risikovurdering på alle personopplysninger vi behandler. Sikkerhet handler ikke bare om rutiner, kontroll og teknologi, men også om mennesker. Sikkerhet påvirkes av bedriftens kultur. Her har både ledere og øvrige medarbeidere et viktig ansvar. VI må sørge for at alle kunder, samarbeidspartnere og ansatte er sikre på at deres personopplysninger er i trygge hender.

CRM-systemer
De fleste bedrifter benytter seg av et system som lagrer navn på kundene, ofte CRM-systemer. Her lagres også navn på kontaktpersoner, e-post og telefonnummer, samt kjøpshistorikk. Dette er ikke sensitive opplysninger, men likevel opplysninger dine kunder ikke er interessert i at kommer på avveie. Derfor er det viktig med sterke passord, god opplæring i bruk av systemet samt avgrensninger når blant annet arbeidsforhold opphører.

Mange CRM-system har mange forskjellige felt for ulike personlige opplysninger. En del av dette er sensitive opplysninger, som religion, politisk oppfatning, fagforeningsmedlemskap og helse. Det er sjeldent at dette er opplysninger vi trenger, og om vi skulle trenge det, stilles det da strengere krav til sikkerhet i systemet for å beskytte kundene. For å sikre at vi følger den nye personvernlovgivningen kan løsningen være å deaktivere feltene med disse opplysningene, eventuelt ha klare instrukser i opplæring om at dette ikke skal fylles inn.

Åpne felt på kundekort ment for tilleggsopplysninger bør og behandles med forsiktighet. La oss si at du har et dårlig forhold til en kontaktperson i en bedrift og fyller inn opplysninger som kan knyttes direkte til personen. Dette kan oppleves som krenkende for personen det gjelder, og er opplysninger vi ikke vil ha på avveie.

HR-systemer
Personopplysninger i et HR-system er sensitive, enten du bruker programvare eller lagrer opplysninger på ulike dokumenter digitalt eller på papir. Her kreves det strenge tiltak internt for å sikre personvernet til den enkelte.
Her lagres opplysninger fra medarbeidersamtaler, eventuelle advarsler, sykemeldinger og andre sensitive opplysninger, og tilgangsstyring er essensielt. Alle i bedriften kan naturlig nok ikke ha tilgang, noe de aller fleste er bevisste på. Men er vi like sikre på hva vi gjør når den ansatte slutter? Første tiltak kan være å begrense tilgang ytterligere, som at kun øverste leder har tilgang. Mange av opplysningene bør slettes etter avsluttet arbeidsforhold. Da du ikke vil ha behov for dem etter at arbeidsforholdet er avsluttet og de nye reglene sier at du ikke skal lagre data lengre enn hva som er nødvendig.

Regnskapssystemer
Regnskapsloven krever at du skal lagre regnskapstall i flere år. Den nye personvernloven overprøver ikke dette, men sier noe om hvordan du skal sikre dine data. Her gjelder mye av det samme som ved HR systemer; Tilgangsstyring og gode rutiner.

SaaS (Software as a service)
Sky tjenester er det stadig flere som benytter seg av. Data som lagres i denne typen tjenester har vi mindre kontroll over, men fortsatt ansvaret for. Din bedrifts data som andre forvalter på oppdrag fra deg. Det er ditt ansvar å sikre at leverandørene av SaaS-løsningen behandler data i henhold til personvernlovgivingen, noe du gjør gjennom en databehandleravtale.
Alle bedrifter behandler personopplysninger i større eller mindre grad. Sensitiviteten av opplysningene varierer. Men om du så kun har en ansatt behandler du personopplysninger.
Vil det ta mye av tiden din å sikre at de nye reglene følges? Nei. Men det krever at du har kontroll på opplysningene og kjenner reglene, uavhengig av om du håndterer en liten bedrift eller et selskap som behandler store mengder personopplysninger for mange.

Neste uke tar vi for oss hva du som leder og ansvarlig må gjøre for å være klar for den nye personvernlovgivingen.

Styrket personvern fra neste år – EUs personvernreform (GDPR)

 

28 mai 2018 vil en ny personvernlov tre i kraft. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.
At de som behandler og lagrer våre personopplysninger nå får et tydeligere rammeverk, samt at de kan straffes med bøter, er en god nyhet.

Hva mener vi egentlig med personopplysninger, hvor er det du egentlig frivillig, ufrivillig eller ubevisst deler dem, hva gjør de sensitive og hvordan vil de nye reglene påvirke deg som privatperson?

I arbeid
I de fleste jobber er det praktisk og nødvendig å dele navn, telefonnummer og e-postadresse knyttet til arbeidsplassen utad. Dette er ikke sensitiv informasjon, og de fleste finner dette enkelt ved et søk på google eller i sosiale medier. Selv om disse opplysningene er lett tilgjengelig og synlig for alle ønsker man ikke at de skal brukes i annen sammenheng uten samtykke eller selges videre til andre formål. Den nye personvernloven er klar på at dine personopplysninger ikke kan selges eller brukes til annet formål enn angitt.

Samtidig deltar du i medarbeidersamtaler og leverer sykemeldinger. Din arbeidsgiver har ditt personnummer, kontonummer, lønnsopplysninger og eventuelt andre personlige opplysninger om din familie og din historikk. Slike opplysninger er som oftest sensitive. Du vil ikke at alle på arbeidsplassen har innsyn i denne informasjonen, og lurer kanskje på hva som skjer med disse opplysningene når du slutter. Her er de nye personvernreglene klare. De pålegger arbeidsgiver å ha gode rutiner internt for å beskytte dine opplysninger, mange av opplysningene kreves slettet når det ikke lenger er behov for dem og senest ved opphør av arbeidsforhold. Du har rett til å spørre om hvordan dette gjøres, og krav på svar.

Netthandel
Som privatperson er det viktig å være bevisst på hva du deler med andre. Send aldri sensitiv informasjon som personnummer eller kopi av førerkort eller pass i e-post. Det er veldig enkelt for hackere å fange opp informasjonen du sender ut på denne måten. Den eneste måten å gjøre dette sikkert på, er gjennom krypteringsløsninger fra en kilde du er helt trygg på.

Skal du handle på nett, gjør det kun på kjente nettsider. En grei tommelfingerregel er å tenke hva du ville gjort ansikt til ansikt; du ville nok ikke gitt fra deg sensitive opplysninger til en fremmed på gata.

Ved avsluttet kundeforhold kan du be om at alle dine opplysninger blir slettet. De nye reglene krever at nettbutikkene har gode rutiner internt og kontroll og løsninger som sikrer at de sletter alt de har av opplysninger om deg når kundeforholdet opphører.

Apper, undersøkelser og konkurranser
De fleste av oss har nok opplevd å installere noe vi trenger, og svarer raskt ja på de spørsmål som kommer underveis. Bruk litt bedre tid, og spør deg selv “Hvorfor trenger en app som oppgraderer kamera på min telefon tilgang til min kontaktliste og e-post – Er det virkelig nødvendig? Hvem har laget denne appen, og hva gjør de med opplysningene?”

Vi blir stadig «spammet» via e-post eller telefonen av ulike salgskampanjer. Et godt tips er å lese alt som står med liten skrift når du for eksempel melder deg på en konkurranse om å vinne en iPhone. Ofte er det her du ubevisst sier ja til å bli kontaktet av deres samarbeidspartnere. Mange deler så dine opplysninger videre.

Den nye lovgivningen sier at den som samler inn opplysningene er pliktig til å informere deg om dette på en kortfattet og forståelig måte slik at du enkelt skal se hva de skal bruke dine personopplysninger til.

Ditt ansvar
Det er ikke til å komme utenom at det til syvende og sist handler om en bevisstgjøring og kontroll hos deg og meg. Vær våken i forhold til hvor du deler dine personopplysninger, hvem du deler de med og hva du sier ja til når du trykker ok i ulike tjenester. På denne måten begrenser du selv spredning av dine personopplysninger.

For uansett om de som behandler data har fått et tydeligere lovverk; ansvaret ligger hos deg.

 

 

Skrevet av Natacha Askestrand