Hjemmekontor og informasjonssikkerhet

I forrige ukes tips skrev vi om hvilken adgang virksomhetene har til å pålegge hjemmekontor og hvilke krav arbeidsgiver må forholde seg til bl.a. når det gjelder skriftlig avtale og HMS. Økt bruk av hjemmekontor medfører også utfordringer knyttet til opprettholdelse av informasjonssikkerheten i virksomheten, dvs. beskyttelse av virksomhetens utstyr, systemer og ikke minst informasjon.

Virksomhetens mest sårbare punkt er den enkelte ansatte. Omfattende bruk av hjemmekontor i den spesielle situasjonen vi nå befinner oss i – med en pågående pandemi – skaper flere og nye utfordringer for arbeidsgivere.

Eksterne og interne krav til informasjonssikkerhet

Det er i hovedsak de samme kravene til informasjonssikkerhet som gjelder både på og utenfor den faste arbeidsplassen. Kravene til informasjonssikkerhet følger av ulike regelverk, avhengig av hvilket type virksomhet det er tale om, herunder om det er tale om privat eller offentlig sektor. For alle virksomheter gjelder kravene i personvernforordningen artikkel 32, om ivaretakelse av konfidensialitet, integritet og tilgjengelighet og plikt til å melde til Datatilsynet innen 72 timer, dersom det oppstår brudd på personopplysningssikkerheten. I tillegg til eksterne lov- og forskriftskrav, vil virksomhetene ofte ha interne retningslinjer og rutiner om informasjonssikkerhet og bruk av virksomhetens systemer og utstyr. Arbeidsgiver må legge til rette for og sørge for at også ansatte på hjemmekontor bidrar til etterlevelse av både eksterne og interne krav.

Hva må arbeidsgiver være oppmerksom på? 

Det som nå er nytt er den ekstra sårbare situasjonen de ansatte og virksomhetenes informasjonssystemer befinner seg i, når de ansatte rent fysisk jobber hjemmefra, ofte fra og med annet utstyr og andre verktøy enn tidligere, samtidig som vi har en pandemi rundt oss. Økt bruk av nye verktøy fører også med seg nye utfordringer.

Under koronatiden har det vist seg at personer og organisasjoner med onde hensikter utnytter denne sårbarheten for å få tilgang til virksomhetens systemer og informasjon, typisk gjennom utsendelse av såkalte phising-eposter der mottaker bes om å klikke på en lenke eller åpne et vedlegg, og der hensikten er å skaffe seg den ansattes brukernavn og passord. Formålene kan være ulike, eksempelvis industrispionasje eller utbetaling av løsepenger. Metodene kan være ulike og blir stadig mer utspekulerte, for eksempel har det vært mange tilfeller der ondsinnede aktører utgir seg for å være fra WHO/helsemyndigheter.

Hva bør virksometen gjøre? 

Hva som vil være nødvendig i den enkelte virksomhet vil avhenge av den konkrete situasjonen og hvordan risikobildet ser ut. Det er likevel en rekke forhold arbeidsgivere bør ta stilling til når det gjelder oppfølgingen av de ansatte og mobiliseringen av disse i arbeidet med å ivareta informasjonssikkerheten. Her vil det ofte være behov for at representanter for IT og HR jobber sammen for å sikre en god dialog og oppfølging av de ansatte. Noen enkle tiltak som retter seg mot ansatte i sin alminnelighet kan f.eks. være å:

  • Informere/minne de ansatte om gjeldende krav til informasjonssikkerhet i virksomheten på en så konkret og praktisk måte som mulig, slik at de ansatte forstår hva som forventes av dem på hjemmekontoret.
  • Informere om faren for manipulasjon og "phishing", og behovet for at ansatte er særlig oppmerksomme på e-poster og hvem som er avsender.
  • Be ansatte om å være særlig på vakt mot e-poster og andre henvendelser som gjelder korona.
  • Angi et kontaktpunkt for ansatte som har spørsmål om hvordan de skal ivareta informasjonssikkerheten på hjemmekontoret eller som skal melde fra om noe de tror kan være et avvik.

I tillegg til bidrag fra ansatte i sin alminnelighet, vil selvfølgelig arbeidet med informasjonssikkerheten i virksomheten mer generelt måtte følges opp og ivaretas av de ansvarlige personer innenfor IT-funksjonen. Disse må nødvendigvis gå mer teknisk til verks enn hva vi har omtalt her. En viktig side av det arbeidet som gjøres vil imidlertid også være å tilrettelegge for at øvrige ansatte, som kanskje ikke har den nødvendige tekniske innsikten og forståelsen for systemene, tar gode valg i sin bruk og omgang av virksomhetens systemer og informasjon. Dette vil for eksempel gjelde for nødvendige oppdateringer av programvare og for ansattes bruk og deling av informasjon gjennom verktøy som teams og zoom som er nytt for mange.

GryHvidsted - Dina Skotnes.jpg

Les våre siste artikler om arbeidsrett

  • Arbeidsrett

    2021

    Fratreden ved tvist om oppsigelse

    Arbeidsmiljøloven krever at oppsigelser må være "saklig begrunnet i virksomhetens, arbeidsgivers eller arbeidstakers forhold" jf. § 15-7. Oppsigelser grunnet virksomhetens forhold aktualiseres typisk der arbeidsgiver møter økonomiske utfordringer, og har behov for kostnadsbesparelser, og hvor dette må løses gjennom en nedbemannings- eller omstillingsprosess.

  • Arbeidsrett

    2021

    Sosiale medier og arbeidsforhold

    Sosiale medier har kommet for å bli, men hvilken betydning har slike kanaler i arbeidsforhold? Har eksempelvis arbeidsgiver adgang til å vektlegge arbeidstakeres publiseringer i sosiale medier, og i hvilken grad kan arbeidsgiver selv utforme retningslinjer for bruken av sosiale medier blant ansatte?

  • Arbeidsrett

    2021

    Oppsigelse grunnet samarbeidsvansker

    Arbeidsmiljøloven åpner for at arbeidstakere kan sies opp dersom oppsigelse er saklig begrunnet i "virksomhetens, arbeidsgivers eller arbeidstakers forhold" jf. § 15-7 første ledd. Oppsigelse grunnet arbeidstakers forhold vil kunne foreligge der arbeidstaker forsømmer sine forpliktelser i arbeidsforholdet, og hvor andre virkemidler – som advarsel – ikke anses som en tilstrekkelig reaksjon. En praktisk problemstilling i denne forbindelse er hvilken adgang arbeidsgiver har til å si opp en arbeidstaker i en situasjon hvor det foreligger alvorlige samarbeidsvansker.