E-post på arbeidsplassen, kontroll og arkivering

Kontroll av ”privat” E-post
Elektronisk post (E-post) har for lengst blitt like vanlig som brevpost og telefaks. Mens mange arbeidsgivere mener E-post bør behandles på linje med andre brev som åpnes, leses og arkiveres av bedriften, mener Datatilsynet og rettssystemet i stor utstrekning at E-post er privat.

Overvåking av epost, internettbruk og telefonsamtaler uten varsel og klar lovhjemmel strider mot den europeiske menneskerettskonvensjonen. Norges Lover har ikke spesielle regler om elektronisk post. Datatilsynet har utarbeidet et regelverk, men konkrete saker blant annet i Vinmonopolet og Redningsselskapet har vist behov for tydeligere regler. Fornyings- og administrasjonsdepartementet (FAD) har nå hatt nye regler på høring. I januar hadde FAD mottatt over 80 henvendelser på forslaget, og det er stor forskjell på svarene fra arbeidsgiver- og arbeidstakerorganisasjoner. Bedriftsforbundet med flere mener at forskriften går for langt i retning av å beskytte arbeidstaker fremfor bedriftens interesser.

Forslag til nye regler
Med hjemmel i personopplysningslovens § 3, 4. ledd og et forslag om nytt kapittel 9 i loven foreslår FAD i hovedsak å lovfeste dagens praksis i Datatilsynets.

De foreslåtte reglene legger strenge begrensninger på arbeidsgivers innsyn i ansattes E-post.

Arbeidsgiver får som utgangspunkt ikke lov å gjennomsøke, åpne eller lese e-post i en ansatts private e-postkasse. Med privat e-postkasse menes selvsagt den helt private, som dittnavn@hotmail.com, men også e-post på arbeidsplassen (ditt.navn@bedriftsnavn.no).

Arbeidsgiver skal kunne utøve innsyn i virksomhetsrelatert E-post ved fravær lengre enn 3 dager. Videre skal arbeidsgiver ha fullt innsyn ved mistanke om straffbare forhold eller grove brudd i arbeidsforholdet. NITO har i høringsrunden bedt om at dette presiseres til å være mistanke om så alvorlige forhold at det vil kunne føre til avskjed.

Verneombudet skal være tilstede dersom arbeidsgiver gjennomfører innsyn. Den ansatte skal normalt varsles på forhånd, og varselet skal inneholde begrunnelse for innsynet og informasjon om den ansattes rettigheter. Nærmere skriftlig instruks skal utarbeides etter drøfting med de tillitsvalgte.

De ”nye” reglene vil ikke bare gjelde E-post. Blant annet vil arbeidsgiver som utgangspunkt heller ikke kunne overvåke ansattes bruk internett.

Brudd på personopplysningsloven kan medføre pålegg og eventuelt tvangsmulkt fra Datatilsynet, eller erstatningsplikt. Forsettlige eller grovt uaktsomme brudd på loven kan i tillegg medføre bøter og i verste fall fengsel. Det er derfor viktig at bedriften har en policy på området. Inntil nye regler er på plass kan en følge Datatilsynets retningslinjer, og som minimum ha:

Klare skriftlige rutiner som gir forutberegnelighet for alle parter.

E-postarkiv og IT-sikkerhet blir viktigere
Har din bedrift kontroll på all elektronisk dokumentasjon, eller finnes kontrakter og forretningsinformasjon lagret som vedlegg i E-post?

Reglene for bruk av og innsyn i e-post er i støpeskjeen. Når dokumentasjon på papir er historie er en annen utfordring allerede aktualisert: Arkivering av E-post. Bedriftene vil jevnlig ha behov for å finne tilbake dokumentasjon. Hva skjer når en ansatt slutter? Det er forslått at den ansattes personlige e-postkasse som hovedregel skal slettes ved opphør av arbeidsforhold. Forsvinner viktige dokumenter med ham?

Bedriftene må allerede nå sørge for at all e-post blir lagret, slik at en finner tilbake dokumentasjon dersom fremtidig behov krever det.

Mangler her har vi blant annet sett ved salget av Lista flystasjon. Her skjedde korrespondansen mellom Forsvarets bygningstjeneste og kjøper hovedsaklig på e-post, og det var i ettertid ikke mulig å oppspore noe dokumentasjon om salget.

Og hvordan står det til med IT-sikkerhet generelt i bedriften? På den nasjonale sikkerhetsdagen 24. april (arrangert av NorSIS og Post- og teletilsynet) viste NorSIS til en undersøkelse de nylig har foretatt blant over 500 bedrifter.

De fleste bedriftene hadde basis sikkerhet på plass, dvs brannmur, antivirus, antispam og sikkerhetskopiering av filer. Over 50% hadde imidlertid manglende opplæring i IT-sikkerhet. 32% av bedriftene hadde opplevd tyveri av datamaskiner, og bare 33% krypterte data. Små bedrifter var merkbart dårligere på sikkerhetskopiering og kryptering. Rapporten sa ikke noe om hvor mange som har innført E-postarkiv.

Risiko for tap av data er ikke lenger skremselspropaganda, men en virkelig risiko. Den må tas på alvor etter hvert som dataene representerer mer og mer av bedriftens verdier. Det handler om Risk Management og å holde følge med utviklingen.

Ta gjerne kontakt med artikkelforfatteren dersom du har spørsmål om emnet eller en konkret utfordring.

Av: Jan K. Arhaug.

Artikkelen er tidligere publisert i tidsskriftet Moderne Produksjon (mai 2007)