Hjemmekontor og informasjonssikkerhet

I forrige ukes tips skrev vi om hvilken adgang virksomhetene har til å pålegge hjemmekontor og hvilke krav arbeidsgiver må forholde seg til bl.a. når det gjelder skriftlig avtale og HMS. Økt bruk av hjemmekontor medfører også utfordringer knyttet til opprettholdelse av informasjonssikkerheten i virksomheten, dvs. beskyttelse av virksomhetens utstyr, systemer og ikke minst informasjon.

Virksomhetens mest sårbare punkt er den enkelte ansatte. Omfattende bruk av hjemmekontor i den spesielle situasjonen vi nå befinner oss i – med en pågående pandemi – skaper flere og nye utfordringer for arbeidsgivere.

Eksterne og interne krav til informasjonssikkerhet

Det er i hovedsak de samme kravene til informasjonssikkerhet som gjelder både på og utenfor den faste arbeidsplassen. Kravene til informasjonssikkerhet følger av ulike regelverk, avhengig av hvilket type virksomhet det er tale om, herunder om det er tale om privat eller offentlig sektor. For alle virksomheter gjelder kravene i personvernforordningen artikkel 32, om ivaretakelse av konfidensialitet, integritet og tilgjengelighet og plikt til å melde til Datatilsynet innen 72 timer, dersom det oppstår brudd på personopplysningssikkerheten. I tillegg til eksterne lov- og forskriftskrav, vil virksomhetene ofte ha interne retningslinjer og rutiner om informasjonssikkerhet og bruk av virksomhetens systemer og utstyr. Arbeidsgiver må legge til rette for og sørge for at også ansatte på hjemmekontor bidrar til etterlevelse av både eksterne og interne krav.

Hva må arbeidsgiver være oppmerksom på? 

Det som nå er nytt er den ekstra sårbare situasjonen de ansatte og virksomhetenes informasjonssystemer befinner seg i, når de ansatte rent fysisk jobber hjemmefra, ofte fra og med annet utstyr og andre verktøy enn tidligere, samtidig som vi har en pandemi rundt oss. Økt bruk av nye verktøy fører også med seg nye utfordringer.

Under koronatiden har det vist seg at personer og organisasjoner med onde hensikter utnytter denne sårbarheten for å få tilgang til virksomhetens systemer og informasjon, typisk gjennom utsendelse av såkalte phising-eposter der mottaker bes om å klikke på en lenke eller åpne et vedlegg, og der hensikten er å skaffe seg den ansattes brukernavn og passord. Formålene kan være ulike, eksempelvis industrispionasje eller utbetaling av løsepenger. Metodene kan være ulike og blir stadig mer utspekulerte, for eksempel har det vært mange tilfeller der ondsinnede aktører utgir seg for å være fra WHO/helsemyndigheter.

Hva bør virksometen gjøre? 

Hva som vil være nødvendig i den enkelte virksomhet vil avhenge av den konkrete situasjonen og hvordan risikobildet ser ut. Det er likevel en rekke forhold arbeidsgivere bør ta stilling til når det gjelder oppfølgingen av de ansatte og mobiliseringen av disse i arbeidet med å ivareta informasjonssikkerheten. Her vil det ofte være behov for at representanter for IT og HR jobber sammen for å sikre en god dialog og oppfølging av de ansatte. Noen enkle tiltak som retter seg mot ansatte i sin alminnelighet kan f.eks. være å:

  • Informere/minne de ansatte om gjeldende krav til informasjonssikkerhet i virksomheten på en så konkret og praktisk måte som mulig, slik at de ansatte forstår hva som forventes av dem på hjemmekontoret.
  • Informere om faren for manipulasjon og "phishing", og behovet for at ansatte er særlig oppmerksomme på e-poster og hvem som er avsender.
  • Be ansatte om å være særlig på vakt mot e-poster og andre henvendelser som gjelder korona.
  • Angi et kontaktpunkt for ansatte som har spørsmål om hvordan de skal ivareta informasjonssikkerheten på hjemmekontoret eller som skal melde fra om noe de tror kan være et avvik.

I tillegg til bidrag fra ansatte i sin alminnelighet, vil selvfølgelig arbeidet med informasjonssikkerheten i virksomheten mer generelt måtte følges opp og ivaretas av de ansvarlige personer innenfor IT-funksjonen. Disse må nødvendigvis gå mer teknisk til verks enn hva vi har omtalt her. En viktig side av det arbeidet som gjøres vil imidlertid også være å tilrettelegge for at øvrige ansatte, som kanskje ikke har den nødvendige tekniske innsikten og forståelsen for systemene, tar gode valg i sin bruk og omgang av virksomhetens systemer og informasjon. Dette vil for eksempel gjelde for nødvendige oppdateringer av programvare og for ansattes bruk og deling av informasjon gjennom verktøy som teams og zoom som er nytt for mange.

GryHvidsted - Dina Skotnes.jpg

Les våre siste artikler om arbeidsrett

  • Arbeidsrett

    2020

    Deltidsansattes rett til utvidet stilling

    Bruk av deltidsansatte gir arbeidsgiver fleksibilitet ved planlegging av fremtidig arbeidsbehov. Koronapandemien har vist at fleksibilitet er spesielt viktig for arbeidsgivere i perioder preget av usikkerhet, ettersom det fremtidige behovet for arbeidskraft er vanskelig å forutse. Denne usikkerheten kan imidlertid føre til at deltidsansatte må utføre arbeid utover sin stillingsprosent – såkalt "merarbeid".

  • Arbeidsrett

    2020

    Fra permittering til nedbemanning

    Mange arbeidsgivere har sett seg nødt til å iverksette permitteringer på bakgrunn av koronapandemien, og den midlertidige innvirkningen viruset har hatt på virksomheten. Når det etter hvert har gått noe tid etter pandemiutbruddet, vil en del virksomheter måtte konstatere at de negative økonomiske virkninger er så omfattende at behovet for kostnadskutt og redusert bemanning ikke lengre vurderes å være midlertidig. Det vil da kunne være nødvendig med mer permanente bemanningstilpasninger, herunder nedbemanning og oppsigelser.

  • Arbeidsrett

    2020

    Overlevering av oppsigelse per e-post

    I senere år har det skjedd en stor økning i bruken av digitale løsninger i arbeidslivet og særlig har e-post blitt vanlig del av manges arbeidshverdag. Koronapandemien har fremskyndet denne utviklingen ytterligere og mange ansatte er kun i begrenset grad fysisk tilgjengelige på arbeidsplassen.