Gå til innhold
Trenger du råd om juss? Still spørsmål anonymt her ×

Lover og regler for IT-Ansvarlig

Songasa

Av Songasa
i Juss

Anbefalte innlegg

Songasa

Songasa

Skrevet
Skrevet

Hei.

 

Jeg har noen spm om lover og regler på hva en IT-ansvarlig faktisk har lov og ikke lov til å gjøre.

Kan ikke finne så mye info på dette direkte rettet mot IT-ansvarlig, men skjønner jo selvsagt at lovene som omhandler hva "arbeidsgiver" kan gjøre, også gjelder IT-ansvarlig. Men hva gjør du som IT-ansvarlig når sjefen ber deg gjøre noe som ikke er lov?

 

Noen av spm jeg allerede har fått besvart er:

 

1. Kan en bedrift overvåke nettverkshistorikk?

2. Hva skjer med Epost og annen elektronisk kommunikasjon når ansatte slutter?

3. Kan arbeidsgiver lese ansattes epost og filer?

4. Har arbeidsgiver lov til å logge seg på arbeidstaker sin datamaskin?

 

Det jeg lurer på nå, er om det finnes noen jurdisk oversikt over hva IT-ansvarlig har lov og ikke lov til. jeg snakker ikke om interne rutiner og heller ikke enkeltpersoners meninger.

 

Man har veldig mange spørsmål og er derfor ute etter en slags oversikt.

Eksempler på hva som kunne vært greit å vite, eller ha et klart svar på:
 

1. Om en sjef spør deg som it-ansvarlig om passordet til "Ola Normann" fordi han må inn på eposten, har man faktisk da lov til å gi det, når man vet dette ikke er lov?

 

2. Kan en IT-ansvarlig logge seg på en brukers datamaskin for å fikse et problem når bruker ikke er til stede når du har eller ikke har fått samtykke?

 

3. Når må IT ansvarlig ha samtykke for å logge på en datamaskin / bytte passord / endre konto osv?

 

Dette for å kunne lage gode interne rutiner som faktisk er basert på lovverket og ikke andres meninger.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
LMH1

LMH1

Skrevet
Skrevet (endret)

Så sant arbeidsgiver gjør det av en grunn (Kan føre til oppsigelse) eller jobb messig grunn kan de gjøre det ja.

 

Les ansettelse vilkårende der bør dette stå.

 

Det må være en grunn for man vil beholde epost\filer ellers burde de normalsett bli slettes etter 1 år. (Ting som ikke er jobb relatert). Men er jo arbeidgiveren som velger dette.

 

F.eks en  ting som ikke er lov er å snoke kun fordi man vil bli kjent med ansatte og ikke jobbmessig grunn.

 

Hvorfor kan ikke man overvåke nettverkshistorikk? Med mindre ansatte bruker VPN er det dems feil de gjør ting arbeidsgiveren ikke vil vite om?

 

Brukerne ber deg endre passord? Ergo har de gitt deg lov å gjøre det?

Uansett gjøres det nok fra windows server ikke i windows som regel. Som regel reinstaller man windows.

 

Husk hele problemstillingen her er arbeidsgiveren som problemet ligger hos.

Eneste du som IKT driftansvarlig kan få problemer med er hvis du sjekker backup eller spioner på ansatte så kanskje du kan miste jobben om du ikke blir bedt om å gjøre det av en grunn.

Endret av LMH1
Lenke til kommentar
barfoo

barfoo

Skrevet
Skrevet

Så sant arbeidsgiver gjør det av en grunn (Kan føre til oppsigelse) eller jobb messig grunn kan de gjøre det ja.

 

Nei, det er klare regler for når det kan gjøres. Jobbmessig grunn er ikke nok.

 

https://www.datatilsynet.no/rettigheter-og-plikter/personvern-pa-arbeidsplassen/innsyn-epost-filer/ tar for seg reglene.

Les ansettelse vilkårende der bør dette stå.

I tillegg til avtalen har man lovverket og tariffavtaler. Det er ofte vel så relevant som avtalen.

Det må være en grunn for man vil beholde epost\filer ellers burde de normalsett bli slettes etter 1 år. (Ting som ikke er jobb relatert). Men er jo arbeidgiveren som velger dette.

I utgangspunktet er det ingen sletteplikt på informasjon som ikke er personopplysninger. Store deler av det mange arbeidstakere foretar seg omhandler ikke personopplysninger.

Hvorfor kan ikke man overvåke nettverkshistorikk? Med mindre ansatte bruker VPN er det dems feil de gjør ting arbeidsgiveren ikke vil vite om?

Fordi nettverksbruken fort kan være personopplysninger, og fordi det ikke er lov å generelt overvåke trafikken utover det som er påkrevd av driftsmessige årsaker. Tillit er et viktig stikkord i arbeidslivet. Og om en person bruker VPN vil i utgangspunktet det fort være et pliktbrudd...

 

Har du erfaring fra arbeidslivet, LMH1?

Brukerne ber deg endre passord? Ergo har de gitt deg lov å gjøre det?

Uansett gjøres det nok fra windows server ikke i windows som regel. Som regel reinstaller man windows.

Hæ?

Husk hele problemstillingen her er arbeidsgiveren som problemet ligger hos.

Eneste du som IKT driftansvarlig kan få problemer med er hvis du sjekker backup eller spioner på ansatte så kanskje du kan miste jobben om du ikke blir bedt om å gjøre det av en grunn.

HÆ?
  • Liker 5
Lenke til kommentar
Uderzo

Uderzo

Skrevet
Skrevet (endret)

 

1. Om en sjef spør deg som it-ansvarlig om passordet til "Ola Normann" fordi han må inn på eposten, har man faktisk da lov til å gi det, når man vet dette ikke er lov?

 

2. Kan en IT-ansvarlig logge seg på en brukers datamaskin for å fikse et problem når bruker ikke er til stede når du har eller ikke har fått samtykke?

 

3. Når må IT ansvarlig ha samtykke for å logge på en datamaskin / bytte passord / endre konto osv?

 

Dette for å kunne lage gode interne rutiner som faktisk er basert på lovverket og ikke andres meninger.

1. Nei, det har han ikke lov til å gjøre. Kun hvis det er snakk om noe alvorlig som en straffesak, da kan politiet kreve tilgang på informasjon.

2. Ikke med brukerens konto. Hvis det kreves så må den ansatte være til stedet og logge inn for han.

3. Trenger ikke samtykke for å logge på en maskin som administrator, men han kan ikke endre passordet til brukeren for å tilegne seg tilgang på brukerens konto uten samtykke. Passordet er det kun for brukeren og skiftes, enten på brukerens eget initiativ, eller i henhold til passord policien på AD.

 

Når man jobber med IT så krever det taushetsplikt og det er strenge krav til personvern.

 

Jeg har vært borti en sak hvor en ansatt hadde begått en grovt underslag, da fikk politiet tilgang på e-posten for å sikre beviser.

Endret av Uderzo
  • Liker 2
Lenke til kommentar
Songasa

Songasa

Skrevet
  • Forfatter
Skrevet

Hei. Takk for svar.

 

Jeg skjønner at det meste peker til taushetsplikten.

Mitt mål med dette er å finne ut om det er noen fastsatte regeler i form av Lovverket som omhnadler IT-ansvarlig / administratorer.

 

Som Supportkonsulent for flere firmaer, får man inn mange spørsmål som kan være på kanten av hva som er tillat. Da der det fint med en håndfast "manual" som besvarer de mest relevante spørsmålene.

 

Her er det jeg har funnet ut av foreløpig:

 

Kan en bedrift overvåke netthistorikk? 

 

Arbeidsgivere kan ikke: 

  1. Kartlegge hvor mye tid hver enkelt ansatt bruker på internett, eller hvilke sider som blir besøkt.

  1. Bruke datasystemets aktivitetslogger, som er ment for å ha oversikt over driften av systemet, til å også overvåke de ansattes produksjon. 


Arbeidsgivere kan: 

  1. Forby nedlasting av musikkfiler eller store bildefiler 

  1. Forby bruk av systemet til private formål 

  1. Benytte loggene til overordnet systemovervåking (gruppenivå) 

  1. Bruke loggene til å finne frem til hvem som står bak uønsket aktivitet. Etter at fristen arbeidsgiver har satt for at aktiviteten opphører har gått ut, kan arbeidsgiver gjøre dette uten samtykke fra de ansatte. 

  1. Bruke tekniske sperrer mot visse typer nedlasting eller nettsteder dersom de ser av loggene at datasystemet misbrukes i strid med retningslinjer, eller at det generelt brukes for mye tid på internett.

  2.  

  3. Arbeidsgivere skal: 

  4. Gi beskjed til ansatte dersom de vil kontrollere om systemet benyttes til ureglementert aktivitet 

  5. ta kontakt med politiet dersom loggene indikerer straffbare forhold, for eksempel surfing på barnepornografi

  6.  

 

 

 Hva skjer med E-post og annen elektronisk kommunikasjon når ansatte slutter: 

 

Når en ansatt slutter, kan det oppstå spørsmål knyttet til hva arbeidsgiver skal gjøre med den ansattes e-postkasse. I noen tilfeller kan arbeidsgiver ha en interesse i å få tilgang til den ansattes e-post. Personopplysningsforskriften setter imidlertid begrensninger til hva arbeidsgiver kan foreta seg i slike tilfeller. 

Sletting av innhold  
Kapittel 9 i personopplysningsforskriften regulerer arbeidsgivers innsynsrett i ansattes e-post og annet elektronisk lagret materiale. I forbindelse med fratreden bestemmer § 9-4 at arbeidstakers e-postkasse skal avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid når arbeidsforholdet avsluttes. Hva som er rimelig tid må vurderes konkret i hvert enkelt tilfelle, men 6 måneder etter ansettelsesforholdets opphør antydes som tilstrekkelig tid for arbeidsgiver. 

Innsyn  
Arbeidsgiver har imidlertid rett til å få innsyn i arbeidstakerens e-postkasse der innsyn er nødvendig for å ivareta daglig drift eller det foreligger andre berettigede interesser for bedriften. Dette følger av personopplysningsforskriften § 9-2. Typiske tilfeller er der arbeidsgiver har begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt pliktbrudd eller kan gi grunnlag for oppsigelse eller avskjed. Det at arbeidstakeren samtykker til innsyn hjemler imidlertid ikke automatisk en rett til innsyn for arbeidsgiveren 

Retningslinjer 
Arbeidsgivers muligheter for innsyn i den ansattes e-post samt hva som skal skje ved fratredelse, bør fremkomme i bedriftens retningslinjer. Her bør for øvrig også bedriftens retningslinjer for bruk av epost, arkivering av dokumenter og behandling av elektronisk informasjon fremkomme. Dersom arbeidsgiver finner det nødvendig å foreta innsyn i den ansattes e-post eller annen elektronisk informasjon, må den ansatte varsles på forhånd. Den ansatte skal også få mulighet til å uttale seg i forkant, og den skal få tilbud om å være tilstede under gjennomgangen. Videre må arbeidsgiver angi begrunnelsen for at vilkårene for innsyn er tilstede. Den ansatte skal i tillegg få mulighet til å ha med seg i en rådgiver eller tillitsvalgt. Det samme gjelder for øvrig der arbeidsgiver ønsker innsyn i andre elektroniske opplysninger, eksempelvis annen informasjon på arbeidstakerens datamaskin eller mobiltelefon. Dersom vilkårene for innsyn foreligger og innsyn gjennomføres, må arbeidsgiver redegjøre for metoden som ble benyttet for innsynet, hva det ble foretatt innsyn i og resultatet at innsynet.  

Arbeidstaker har i alle tilfelle en plikt til overlevere all virksomhetsrelatert informasjon til arbeidsgiver ved fratreden. Dette for å sørge for at arbeidsgiver får beholde all nødvendig informasjon som tilhører bedriften. Arbeidstaker bør sørge for å fjerne privat e-poster i slike tilfeller.  

 

 

Kan arbeidsgiver lese ansattes epost og filer 

Arbeidsgiver vil som regel ikke ha rett å gjøre innsyn i arbeidstakers e-postkasse eller personlige arbeidsområde på virksomhetens datanettverk. Arbeidsgiver kan i konkrete enkelttilfeller likevel ha rett til å gjennomsøke, åpne eller lese e-post eller filer, forutsatt at visse vilkår i loven er oppfylt. Automatisk videresending av e-post er uansett aldri tillatt. 

Innsyn i e-post er regulert i personopplysningsforskriften kapittel 9. Arbeidsgivers anledning til å gjøre innsyn etter personopplysningsforskriften kapittel 9 omfatter ikke ansattes eget utstyr, selv om dette brukes i arbeidssammenheng. 

 

 

Har arbeidsgiver lov til å logge inn på arbeidstaker sin datamaskin?  

 

Ved mistanke om misbruk eller aktivitet i strid med arbeidsgiverens interesser. Imidlertid medfører personopplysningsloven § 8 med personopplysningsforskriften kapittel 9 at arbeidsgiver kun har adgang til innsyn i e-post og annen databruk på visse vilkår. Disse vilkårene fremgår av loven og forskriften. Dersom det foreligger samtykke til innsyn, vil innsyn kunne gjennomføres i henhold til personopplysningsloven § 8 første ledd. Det må være tale om et frivillig, uttrykkelig og informert samtykke, slik det er beskrevet i personopplysningsloven 

 

Lenke til kommentar
Uderzo

Uderzo

Skrevet
Skrevet

Det er viktig at arbeidsgiver ber om slike ting skriftlig, ikke ta i mot slike ordre muntlig. Hvis det skulle bli en tvist mellom arbeidsgiver og ansatt så er det viktig at du kan refere til skriftlig kommunikasjon hvor sjefen f.eks ba om innsyn.

Hvis arbeidsgiver kun vil ta det muntlig så er ikke det et godt tegn for å si det slik.

  • Liker 4
Lenke til kommentar
Songasa

Songasa

Skrevet
  • Forfatter
Skrevet

Dette er regler som i hovedsak gjelder for arbeidsgiver. Om arbeidsgiver ber om noe utlevert er det hans ansvar å sørge for at dette er lov. En system administrator er bare en ansatt, det er arbeidsgiver som har ansvar. 

 

Ja, men dette er det eneste jeg finner rundt temaet.

 

Et eksempel på scenario : (Ps. har ikke skjedd meg, men det kan selvsagt skje)

Om en sjef for et selskap ber om info rundt bruker som du som "outsorced" IT-Ansvarlig sitter på. feks passord til bruker.

Du og bruker er de eneste med denne infoen. Sjef vil inn på maskin / epost til bruker og ber deg om info. kan du som 3.part bli viklet inn i en "ufin" smørje om du gir ut info? -

Her kommer nok taushetsplikt inn i bildet, men hele saken er i gråsonen da det er "Arbeidsgiver" sitt "problem" om noe skulle skje.

 

Det må vel finnes noen lover rundt dette med it-sikkerhet, taushetsplikt og personvarn (jeg bare finner det ikke)?

PS: Jeg finner de generelle personvern lovene.....

Lenke til kommentar
Dapp47

Dapp47

Skrevet
Skrevet

Som outsourcet IT-ansvarlig er du databehandler for arbeidsgiver. Du drifter data som tilhører arbeidsgiver. Ergo gjelder det samme her - det er arbeidsgiver som er ansvarlig. Good practise er likevel og informere arbeidsgiver om hva som er lov og hva som ikke er det når forespørselen kommer. 

 

Innsyn i epost kan gis hvis arbeidstaker godkjenner det, eller hvis det er kritisk for driften av bedriften videre. Arbeidstaker skal alltid ha muligheten til å være til stedet når mailboksen blir gjennomgått. 

  • Liker 3
Lenke til kommentar
nirolo

nirolo

Skrevet
Skrevet

Dette er regler som i hovedsak gjelder for arbeidsgiver. Om arbeidsgiver ber om noe utlevert er det hans ansvar å sørge for at dette er lov. En system administrator er bare en ansatt, det er arbeidsgiver som har ansvar.

Dersom arbeidsgiver ber deg gjøre noe ulovlig så er det ikke nødvendigvis straffefritt for deg som dataadmin å gjøre dette. I hvert fall ikke om du vet det er ulovlig.

 

Du er selv ansvarlig for egne handlinger og arbeidsgiver har ikke myndighet til å beordre deg til å gjøre noe ulovlig.

 

Dersom du blir bedt om å gjøre noe du mener er ulovlig, så informerer du om at det ikke er lov. En fornuftig vei videre er å be arbeidgiver om å ta opp saken med en jurist som kan avklare om dette er noe dere har lov til eller ikke.

 

Tilgang til en annsatt sin pc får man enklest ved å spørre den ansatte om han kan logge seg på og gi deg det du vil ha. Da vet den ansatte at du ikke snoker. For at man skal ta seg tilgang til en pc bør det være kritisk for virksomheten.

Lenke til kommentar
Songasa

Songasa

Skrevet
  • Forfatter
Skrevet

Takk for svar.

 

Ønsker som sagt noe håndfast å vise til. F.eks: Norsk lov.

Jeg har skrevet det jeg har funnet ut av, men lurer på om det er noe mer man bør ha sort på hvitt for å sikre seg selv som it-ansvarlig innenfor "lover og regler".

 

:)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...