Pågang av saker om «snoking» i arbeids­givers data­systemer

Økt oppmerksomhet på urettmessig oppslag kan ha sammenheng med den nye personvernforordningen (GDPR) og bedre sikring av personopplysninger.

At ansatte foretar urettmessig oppslag er dessverre ikke noe nytt fenomen.

Gjennom elektroniske søkesystemer har det blitt lettere for ansatte å foreta søk når nysgjerrigheten tar overhånd. De siste ti årene har det vært flere saker i media om dette. Dette gjelder for eksempel fra NAV, helsevesenet, politietaten, skatteetaten, utlendingsmyndighetene og andre etater med tilgang til registre.

Selv om de fleste saker som er omtalt i media omfatter offentlig virksomhet, vil urettmessig oppslag også kunne skje i privat sektor. For eksempel lagrer forsikringsselskaper og advokatfirmaer mye informasjon om sine kunder og klienter. Dette kan være personopplysninger som ikke alle i bedriften er ment å ha tilgang til.

Rettslig grunnlag:

I noen sammenhenger følger det direkte av lov at oppslag uten tjenstlig behov ikke er tillatt (se f.eks. helsepersonelloven § 21 a).

I andre tilfeller kan det følge av personalreglement, eller i instruks fra arbeidsgiver. I offentlig sektor følger det gjerne av IKT-instruks at søk eller oppslag som ikke har et tjenstlig behov ikke er tillatt. Et eksempel er UDI sin IKT-instruks hvor det fremgår at medarbeidere skal; kun behandle personopplysninger i samsvar med gjeldende regelverk, se personopplysningsloven, utlendingsloven, statsborgerloven og forvaltningsloven, og kun behandle, herunder søke på, opplysninger som er nødvendige for at du skal kunne utføre arbeidsoppgavene dine (tjenstlig behov). Ved tiltredelse i stilling undertegner den ansatte på at vedkommende har satt seg inn i arbeidsgivers IKT-instrukser.

Et av hensynene bak slike regler er å sikre at kunder, klienter, brukere og andre har tillitt til den som behandler opplysningene. En skal føle seg trygg på at opplysninger som gis ikke benyttes i andre sammenhenger eller deles med uvedkommende, jf. Personvernforordning art. 6. Reglene skal videre sikre kvalitet på de tjenester som leveres.

Hvordan oppdages urettmessig oppslag:

For å bruke arbeidsgivers datasystem er det vanlig at den enkelte arbeidstaker må logge seg inn med sitt personlige brukernavn. Datasystemet registrer den enkelte arbeidstakers aktivitet i systemet, herunder hvem eller hva arbeidstakeren gjør oppslag på.

I IKT-instrukser fremgår det som regel at hvis arbeidsgiver har mistanke om bruk eller oppslag utover et tjenstlig behov, vil arbeidstakers logg bli gjennomgått. Videre følger det av slike instrukser at arbeidsgiver også foretar jevnlige loggkontroller uavhengig av mistanke. Gjennom kontroller kan urettmessig oppslag og ikke autorisert tilgang oppdages og dokumenteres.

Mulige konsekvenser ved urettmessig oppslag:

De som blir utsatt for urettmessig oppslag vil kunne oppfatte dette som en krenkelse og en belastning. Det er også et alvorlig tillitsbrudd av den ansatte overfor egen arbeidsgiver.

Omfang og intensiteten av oppslagene vil være sentrale momenter når arbeidsgiver skal vurderer mulig reaksjon overfor den ansatte som har gjort urettmessige oppslag.

Ut i fra vår erfaring ser arbeidsgiver alvorlig på urettmessig oppslag, og det er ikke uvanlig at arbeidsgiver velger å suspendere den ansatte etter aml § 15-3 eller statsansatteloven § 29, i påvente av at arbeidsgiver foretar en full gjennomgang og vurdering av bruddets alvorlighet.

I de mindre alvorlige tilfellene kan arbeidsgiver reagere med advarsel eller ordensstraff (statsansatteloven § 25). For mer alvorlige brudd kan reaksjonen være oppsigelse (aml § 15-7, statsansatteloven § 20) eller avskjed (aml § 15-14, statsansatteloven § 29).

Vår erfaring er at arbeidsgiver i de gradert alvorlig sakene velger en streng reaksjonsform. Vår rådgivning i denne type saker, er at det søkes en minnelig løsning som ivaretar alle involverte parter.

Urettmessige oppslag kan i tillegg sanksjoneres gjennom straffebestemmelser. Dette kan medføre at arbeidstakeren idømmes en straffesanksjon i tillegg til eventuell reaksjonsform fra arbeidsgiver. I Oslo tingrett ble nylig en tidligere leder i NAV idømt en bot for å ha foretatt urettmessig personopplysningssøk på naboer, familiemedlemmer og kolleger i Navs elektroniske søkesystemer.

Jevnlig opplæring:

Sett fra Juristforbundets advokatkontor sin side mener vi det er viktig at arbeidsgiver jevnlig har fokus på opplæring og gjennomgang av reglementet og sikkerhetsinstruks som regulerer adgang til oppslag. Det bør være trening i grensesnitt om hva som er tjenstlig behov, samt viktigheten av å håndtere personopplysninger på riktig måte.

Hva bør du gjøre hvis du oppdager urettmessig oppslag:

Som nevnt ovenfor vil oppslag som ikke har et tjenstlig behov kunne medføre alvorlige konsekvenser for arbeidsforholdet til den som har foretatt oppslagene.

Hvis en arbeidstaker oppdager at en kollega har gjort urettmessige oppslag er det advokatkontorets oppfatning at man må si ifra til arbeidsgiver. Dette kan gjøres ved å ta kontakt med nærmeste leder eller ved bruk av virksomhetens varslingsrutiner. I noen virksomheter eksisterer det egne rutiner for hvordan urettmessig oppslag skal meldes, eller det fremgår direkte av IKT-instruksen.