Hjemmekontor og informasjonssikkerhet

I forrige ukes tips skrev vi om hvilken adgang virksomhetene har til å pålegge hjemmekontor og hvilke krav arbeidsgiver må forholde seg til bl.a. når det gjelder skriftlig avtale og HMS. Økt bruk av hjemmekontor medfører også utfordringer knyttet til opprettholdelse av informasjonssikkerheten i virksomheten, dvs. beskyttelse av virksomhetens utstyr, systemer og ikke minst informasjon.

Virksomhetens mest sårbare punkt er den enkelte ansatte. Omfattende bruk av hjemmekontor i den spesielle situasjonen vi nå befinner oss i – med en pågående pandemi – skaper flere og nye utfordringer for arbeidsgivere.

Eksterne og interne krav til informasjonssikkerhet

Det er i hovedsak de samme kravene til informasjonssikkerhet som gjelder både på og utenfor den faste arbeidsplassen. Kravene til informasjonssikkerhet følger av ulike regelverk, avhengig av hvilket type virksomhet det er tale om, herunder om det er tale om privat eller offentlig sektor. For alle virksomheter gjelder kravene i personvernforordningen artikkel 32, om ivaretakelse av konfidensialitet, integritet og tilgjengelighet og plikt til å melde til Datatilsynet innen 72 timer, dersom det oppstår brudd på personopplysningssikkerheten. I tillegg til eksterne lov- og forskriftskrav, vil virksomhetene ofte ha interne retningslinjer og rutiner om informasjonssikkerhet og bruk av virksomhetens systemer og utstyr. Arbeidsgiver må legge til rette for og sørge for at også ansatte på hjemmekontor bidrar til etterlevelse av både eksterne og interne krav.

Hva må arbeidsgiver være oppmerksom på? 

Det som nå er nytt er den ekstra sårbare situasjonen de ansatte og virksomhetenes informasjonssystemer befinner seg i, når de ansatte rent fysisk jobber hjemmefra, ofte fra og med annet utstyr og andre verktøy enn tidligere, samtidig som vi har en pandemi rundt oss. Økt bruk av nye verktøy fører også med seg nye utfordringer.

Under koronatiden har det vist seg at personer og organisasjoner med onde hensikter utnytter denne sårbarheten for å få tilgang til virksomhetens systemer og informasjon, typisk gjennom utsendelse av såkalte phising-eposter der mottaker bes om å klikke på en lenke eller åpne et vedlegg, og der hensikten er å skaffe seg den ansattes brukernavn og passord. Formålene kan være ulike, eksempelvis industrispionasje eller utbetaling av løsepenger. Metodene kan være ulike og blir stadig mer utspekulerte, for eksempel har det vært mange tilfeller der ondsinnede aktører utgir seg for å være fra WHO/helsemyndigheter.

Hva bør virksometen gjøre? 

Hva som vil være nødvendig i den enkelte virksomhet vil avhenge av den konkrete situasjonen og hvordan risikobildet ser ut. Det er likevel en rekke forhold arbeidsgivere bør ta stilling til når det gjelder oppfølgingen av de ansatte og mobiliseringen av disse i arbeidet med å ivareta informasjonssikkerheten. Her vil det ofte være behov for at representanter for IT og HR jobber sammen for å sikre en god dialog og oppfølging av de ansatte. Noen enkle tiltak som retter seg mot ansatte i sin alminnelighet kan f.eks. være å:

  • Informere/minne de ansatte om gjeldende krav til informasjonssikkerhet i virksomheten på en så konkret og praktisk måte som mulig, slik at de ansatte forstår hva som forventes av dem på hjemmekontoret.
  • Informere om faren for manipulasjon og "phishing", og behovet for at ansatte er særlig oppmerksomme på e-poster og hvem som er avsender.
  • Be ansatte om å være særlig på vakt mot e-poster og andre henvendelser som gjelder korona.
  • Angi et kontaktpunkt for ansatte som har spørsmål om hvordan de skal ivareta informasjonssikkerheten på hjemmekontoret eller som skal melde fra om noe de tror kan være et avvik.

I tillegg til bidrag fra ansatte i sin alminnelighet, vil selvfølgelig arbeidet med informasjonssikkerheten i virksomheten mer generelt måtte følges opp og ivaretas av de ansvarlige personer innenfor IT-funksjonen. Disse må nødvendigvis gå mer teknisk til verks enn hva vi har omtalt her. En viktig side av det arbeidet som gjøres vil imidlertid også være å tilrettelegge for at øvrige ansatte, som kanskje ikke har den nødvendige tekniske innsikten og forståelsen for systemene, tar gode valg i sin bruk og omgang av virksomhetens systemer og informasjon. Dette vil for eksempel gjelde for nødvendige oppdateringer av programvare og for ansattes bruk og deling av informasjon gjennom verktøy som teams og zoom som er nytt for mange.

GryHvidsted - Dina Skotnes.jpg

Les våre siste artikler om arbeidsrett

  • Arbeidsrett

    2020

    Hva er tvungen lønnsnemnd og når kan det brukes?

    Busstrafikken i Oslo og Viken ble denne uken rammet av streik etter brudd i forhandlinger og mekling mellom arbeidstakerorganisasjonene og arbeidsgiverorganisasjonene. Bakgrunnen for streiken er blant annet et krav om høyere lønn. Så langt er 3500 sjåfører tatt ut i streik i Oslo og Viken, men fagforeningene har varslet en opptrapping av streiken dersom partene ikke blir enige før lørdag 26. september 2020.

  • Arbeidsrett

    2020

    Omstilling og nedbemanning

    Koronapandemien har medført at mange virksomheter ser seg nødt til å vurdere omorganisering og tilpasninger av bemanningen. Det er en rekke ulike regelsett som regulerer slike prosesser, og det er lett å trå feil.

  • Arbeidsrett

    2020

    Kan arbeidsgiver ilegge ansatte munnkurv?

    Tidvis er det stor offentlig interesse knyttet til en arbeidsplass og hva ansatte der erfarer. Høsten 2020 var det oppmerksomhet rundt at Hurtigruten skal ha ilagt sine ansatte på MS Roald Amundsen munnkurv i forbindelse med smitteutbruddet på deres seilas. De ansatte ble pålagt å ikke snakke med pressen. Hurtigruten fant dette nødvendig for å få ro rundt den interne granskningen og pågående politietterforskningen.