Hjemmekontor og informasjonssikkerhet

I forrige ukes tips skrev vi om hvilken adgang virksomhetene har til å pålegge hjemmekontor og hvilke krav arbeidsgiver må forholde seg til bl.a. når det gjelder skriftlig avtale og HMS. Økt bruk av hjemmekontor medfører også utfordringer knyttet til opprettholdelse av informasjonssikkerheten i virksomheten, dvs. beskyttelse av virksomhetens utstyr, systemer og ikke minst informasjon.

Virksomhetens mest sårbare punkt er den enkelte ansatte. Omfattende bruk av hjemmekontor i den spesielle situasjonen vi nå befinner oss i – med en pågående pandemi – skaper flere og nye utfordringer for arbeidsgivere.

Eksterne og interne krav til informasjonssikkerhet

Det er i hovedsak de samme kravene til informasjonssikkerhet som gjelder både på og utenfor den faste arbeidsplassen. Kravene til informasjonssikkerhet følger av ulike regelverk, avhengig av hvilket type virksomhet det er tale om, herunder om det er tale om privat eller offentlig sektor. For alle virksomheter gjelder kravene i personvernforordningen artikkel 32, om ivaretakelse av konfidensialitet, integritet og tilgjengelighet og plikt til å melde til Datatilsynet innen 72 timer, dersom det oppstår brudd på personopplysningssikkerheten. I tillegg til eksterne lov- og forskriftskrav, vil virksomhetene ofte ha interne retningslinjer og rutiner om informasjonssikkerhet og bruk av virksomhetens systemer og utstyr. Arbeidsgiver må legge til rette for og sørge for at også ansatte på hjemmekontor bidrar til etterlevelse av både eksterne og interne krav.

Hva må arbeidsgiver være oppmerksom på? 

Det som nå er nytt er den ekstra sårbare situasjonen de ansatte og virksomhetenes informasjonssystemer befinner seg i, når de ansatte rent fysisk jobber hjemmefra, ofte fra og med annet utstyr og andre verktøy enn tidligere, samtidig som vi har en pandemi rundt oss. Økt bruk av nye verktøy fører også med seg nye utfordringer.

Under koronatiden har det vist seg at personer og organisasjoner med onde hensikter utnytter denne sårbarheten for å få tilgang til virksomhetens systemer og informasjon, typisk gjennom utsendelse av såkalte phising-eposter der mottaker bes om å klikke på en lenke eller åpne et vedlegg, og der hensikten er å skaffe seg den ansattes brukernavn og passord. Formålene kan være ulike, eksempelvis industrispionasje eller utbetaling av løsepenger. Metodene kan være ulike og blir stadig mer utspekulerte, for eksempel har det vært mange tilfeller der ondsinnede aktører utgir seg for å være fra WHO/helsemyndigheter.

Hva bør virksometen gjøre? 

Hva som vil være nødvendig i den enkelte virksomhet vil avhenge av den konkrete situasjonen og hvordan risikobildet ser ut. Det er likevel en rekke forhold arbeidsgivere bør ta stilling til når det gjelder oppfølgingen av de ansatte og mobiliseringen av disse i arbeidet med å ivareta informasjonssikkerheten. Her vil det ofte være behov for at representanter for IT og HR jobber sammen for å sikre en god dialog og oppfølging av de ansatte. Noen enkle tiltak som retter seg mot ansatte i sin alminnelighet kan f.eks. være å:

  • Informere/minne de ansatte om gjeldende krav til informasjonssikkerhet i virksomheten på en så konkret og praktisk måte som mulig, slik at de ansatte forstår hva som forventes av dem på hjemmekontoret.
  • Informere om faren for manipulasjon og "phishing", og behovet for at ansatte er særlig oppmerksomme på e-poster og hvem som er avsender.
  • Be ansatte om å være særlig på vakt mot e-poster og andre henvendelser som gjelder korona.
  • Angi et kontaktpunkt for ansatte som har spørsmål om hvordan de skal ivareta informasjonssikkerheten på hjemmekontoret eller som skal melde fra om noe de tror kan være et avvik.

I tillegg til bidrag fra ansatte i sin alminnelighet, vil selvfølgelig arbeidet med informasjonssikkerheten i virksomheten mer generelt måtte følges opp og ivaretas av de ansvarlige personer innenfor IT-funksjonen. Disse må nødvendigvis gå mer teknisk til verks enn hva vi har omtalt her. En viktig side av det arbeidet som gjøres vil imidlertid også være å tilrettelegge for at øvrige ansatte, som kanskje ikke har den nødvendige tekniske innsikten og forståelsen for systemene, tar gode valg i sin bruk og omgang av virksomhetens systemer og informasjon. Dette vil for eksempel gjelde for nødvendige oppdateringer av programvare og for ansattes bruk og deling av informasjon gjennom verktøy som teams og zoom som er nytt for mange.

GryHvidsted - Dina Skotnes.jpg

Les våre siste artikler om arbeidsrett

  • Arbeidsrett

    2021

    Redegjørelsesplikten

    Etter likestillings- og diskrimineringsloven har alle arbeidsgivere uavhengig av størrelse en plikt til å aktivt fremme likestilling i virksomheten. For alle offentlige virksomheter og private virksomheter med mer enn 50 ansatte, gjelder også en konkretisert plikt til å redegjøre offentlig for sitt aktive likestillingsarbeid. Plikten gjelder også private virksomheter som jevnlig har mellom 20 og 50 ansatte, når en av arbeidslivets parter i virksomheten krever det.

  • Arbeidsrett

    2021

    Dagpenger gir rett til feriepenger i 2021

    Søndag 7. februar 2021 ble det klart at et flertall på Stortinget vil la de som har vært permitterte eller arbeidsledige under koronapandemien i 2020 og 2021 motta feriepenger basert på mottatte dagpenger.

  • Arbeidsrett

    2021

    Arbeidsgivers ansvar i saker om seksuell trakassering

    Seksuell trakassering er forbudt etter likestillings- og diskrimineringsloven. I arbeidslivet har arbeidsgiver i denne forbindelse et viktig ansvar for å ivareta egne ansatte og sikre et forsvarlig arbeidsmiljø. Arbeidsgiver og ledelsen har et særlig ansvar for å hindre og forebygge at ulovlig trakassering forekommer i virksomheten. Det betyr at ledelsen må utarbeide forebyggende tiltak og rutiner, samt stanse trakasseringen dersom noen trakasseres på arbeidsplassen.