Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte skal ikke gjennom bedriftens nettverk tilegne seg eller forsøke å tilegne seg informasjon han/hun ikke er ment å ha tilgang til. Den ansatte skal sørge for at arbeidsrelatert informasjon er tilgjengelig for arbeidsgiver og, som hovedregel, andre ansatte. 2. Bruker-ID og passord Passord legitimerer den ansatte som rettmessig bruker av sin bruker-id. Passordet er den ansattes personlige nøkkel til systemene og de data som ligger der. Passordet skal holdes hemmelig for alle andre, med mindre annet er godkjent av ITavdelingen/[bedriftens navn]. Passordet kan oppgis til kolleger dersom det er nødvendig i forbindelse med fravær fra kontoret. Når den ansatte får beskjed om å endre passordet, skal han/hun velge et passord som ikke lett kan knekkes av andre (bruk for eksempel ikke navn, fødselsdato, bilmerke). Ved mistanke om at utenforstående har fått kjennskap til passordet, skal passordet endres umiddelbart. 3. Logg ut og slå av Av hensyn til faren for misbruk er det viktig at den ansatte sikrer tilgangen ved å logge ut eller benytte skjermsparer når han/hun ikke er tilstede, fordi uvedkommende med letthet ellers kan tilegne seg informasjon ved hjelp av vedkommendes maskin. IT-avdelingen/ [bedriftens navn] legger inn skjermsparer med passord på alle maskinene, og denne er den ansatte forpliktet til å bruke. For å spare strøm og for å minske risikoen for brann skal maskinen fysisk slås av ved arbeidstidens slutt. 4. Sikkerhetstiltak Sikkerhetstiltak som blir satt i verk, skal følges. Lagringsmedier (som CD/DVD-plater og papirdokumenter) som inneholder personopplysninger og/eller konfidensiell informasjon, skal håndteres og oppbevares på en måte som gjør at slik informasjon ikke kommer på avveie. Utskrifter som inneholder personopplysninger og/eller konfidensiell informasjon den ansatte ikke lenger har behov for, skal makuleres. Forpliktelser etter dette punkt supplerer taushetserklæringer for dem som er bundet av slike. Arbeidsgiver står fritt til å sperre alle tjenester som kan medføre en sikkerhetsrisiko. Da håndholdt datautstyr som mobiltelefoner ofte tas med utenfor arbeidsgivers lokaler, må det utvises særlig forsiktighet ved nedlasting av filer til slikt håndholdt datautstyr. Så Datadisiplininstruks Side 1 av 6 10.03.2009
snart den ansatte blir oppmerksom på det, skal tap av slikt utstyr tilhørende arbeidsgiver rapporteres til IT-avdelingen/[bedriftens navn] eller nærmeste overordnede, og mobiltelefonabonnement skal sperres. 5. Lagring av og tilgang til data arbeidsgivers datanettverk Arbeidsrelaterte dokumenter skal, uavhengig av opprinnelse, som hovedregel lagres i bedriftens elektroniske arkivsystem, slik at disse dokumentene på en enkel måte gjøres tilgjengelige for andre ansatte. Arbeidsgiver har på lik linje med øvrige ansatte adgang til den informasjon som ligger på datanettverkets fellesområde, herunder i bedriftens elektroniske arkivsystem. 6. Ansattes e-postbruk Arbeidsgivers e-postsystem er opprettet som et arbeidsverktøy, hvor den enkelte ansatte i den anledning har fått stilt til disposisjon en e-post adresse (nn@bedriftensnavn.no) med tilhørende e-postkasse. Arbeidsgivers e-postsystem, herunder e-postadresse og e-postkasse, tillates imidlertid også brukt til private formål. Privat bruk skal dog ha et begrenset omfang. Sunn fornuft og god dømmekraft må være førende for all privat bruk. E-postsystemet skal ikke brukes til å spre materiale som er diskriminerende, pornografisk, obskønt eller på annen måte fremstår som støtende. Ansatte skal overholde instrukser gitt av IT-avdelingen/[bedriftens navn]. I denne sammenheng påpekes at: Det påligger den enkelte ansatte å rydde løpende i e-postkassen sin, herunder å sørge for at arbeidsrelatert e-post lagres på foreskrevet måte, se punkt 5. E-post ikke skal benyttes for konfidensiell informasjon uten at e-posten er kryptert og eventuelle vedlegg er passordbelagt. Konfidensiell informasjon skal plasseres i vedlegg og ikke i selve e-posten. Ved forsendelser av personopplysninger gjelder personopplysningslovens bestemmelser med tilhørende forskrifter. Bestemmelsene her må overholdes. Ved fravær ut over to virkedager bør nøytral fraværsmarkering i e-postsystemet benyttes. Alternativt skal den ansatte sørge for annen betryggende håndtering av innkommende e-post. Kjedebrev og lignende tillates ikke distribuert eller formidlet videre. 7. Arbeidsgivers innsyn i den ansattes e-postkasse Arbeidsgiver har som utgangspunkt ikke anledning til å gjennomsøke, åpne eller lese e- post (herunder vedlegg) i den ansattes e-postkasse. Datadisiplininstruks Side 2 av 6 10.03.2009
Arbeidsgiver har likevel adgang til å gjennomsøke, åpne eller lese e-post i den ansattes e- postkasse når dette er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Som eksempler kan nevnes: Det er nødvendig for å ivareta den daglige driften av virksomheten i forbindelse med ansattes fravær som følge av sykdom, ferieavvikling, permisjon, permittering, streik etc. Det er nødvendig for å overholde frister av betydning for virksomheten, f.eks. akseptfrister ved tilbud, rapporteringsfrister eller frister ovenfor offentlige myndigheter og domstoler. Det er nødvendig for at andre ansatte skal få utført nødvendige arbeidsoppgaver IT-avdelingen/[bedriftens navn] kan av administrative eller tekniske årsaker (eksempelvis for å håndtere eventuelle virus) være nødt til å gå inn i den enkeltes e-postkasse. Videre har arbeidsgiver adgang til å gjennomsøke, åpne eller lese e-post i den ansattes e- postkasse hvor det foreligger begrunnet mistanke om at den ansattes bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Som eksempler kan nevnes: Den ansatte bruker datautstyr til utsendelse av spam eller e-poster med annet skadelig innhold. Den ansatte bruker e-postsystemet til trakassering av kollegaer. Den ansatte bruker e-postsystemet til spredning av støtende eller ulovlig materiell. Den ansatte bruker e-postsystemet til støtende eller ulovlig virksomhet. Hvor det foreligger mistanke om at den ansatte bedriver illojal konkurrerende virksomhet overfor arbeidsgiver. [KOMMENTAR 1 : Hvorvidt innsyn i e-post el. er nødvendig for å ivareta den daglige drift eller andre berettigede interesser ved virksomheten, krever en konkret vurdering i hvert enkelt tilfelle av om det er et kvalifisert behov for å åpne e-postkassen for å kunne ivareta den berettigede interessen arbeidsgiver mener å ha. En virksomhet bør derfor søke å innrette sin drift på en måte som tilrettelegger for minst mulig inngrep i den ansattes personvern, f.eks. gjennom gode rutiner for informasjonsdeling. I denne sammenheng påpekes at dersom ivaretakelse av driften kan oppnås med andre og mindre inngripende midler, vil innsyn i e-postkassen ikke være nødvendig, og således heller ikke tillatt etter personopplysningsforskriften. Hvor det foreligger begrunnet mistanke om at den ansattes bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed, kan arbeidsgiver også nekte den ansatte tilgang til e-postsystemet inntil saken er nærmere avklart. Arbeidsgivers adgang til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse gir ikke arbeidsgiver rett til innsyn i informasjon som omfattes av den ansattes lovbestemte taushetsplikt. Det er derfor viktig at arbeidsgiver avklarer hvorvidt den ansatte er underlagt lovbestemt taushetsplikt før det gjennomføres innsyn, samt at det tas forsvarlig hensyn til slik taushetsplikt når arbeidsgiver gjennomgår den ansattes e-postkasse. Lovbestemt taushetsplikt påligger for eksempel advokater, leger, psykologer, apotekere, sykepleiere. Som et annet praktisk eksempel kan vises til at forvaltningsloven inneholder regler om taushetsplikt for personer som har mottatt sensitiv informasjon som følge av tjeneste eller arbeid for 1 Ikke en del av instruksen Datadisiplininstruks Side 3 av 6 10.03.2009
stat eller kommune. Også korrespondanse mellom ansatt og tillitsvalgt eller verneombud vil kunne anses beskyttet av taushetsplikt, se forskrift om verneombud og arbeidsmiljøutvalg.] 8. Saksbehandlingsregler ved innsyn Hvis arbeidsgiver vurderer å gjennomføre innsyn i den ansattes e-postkasse, skal den ansatte så langt det er mulig bli varslet og gis anledning til å uttale seg før arbeidsgiver gjennomfører innsynet. Varselet bør av bevishensyn gis skriftlig. I varselet skal den ansatte bli orientert om grunnlaget for at arbeidsgiver ønsker å gjennomføre innsyn, den ansattes rett til å være til stede under gjennomføringen av innsynet og retten til å la seg bistå av tillitsvalgt eller annen representant i sakens anledning. Arbeidstaker skal så langt som mulig gis anledning til å være tilstede under gjennomføringen av innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant. Dersom innsyn i den ansattes e-postkasse viser at det ikke foreligger dokumentasjon som arbeidsgiver har rett til innsyn i, skal e-postkassen og dokumenter i denne straks lukkes. Eventuelle kopier skal i denne sammenheng slettes. Foretar arbeidsgiver innsyn uten at den ansatte er varslet i forkant, skal den ansatte motta en skriftlig underretning om dette så snart innsynet er gjennomført. En slik underretning skal, i tillegg til den informasjon som fremkommer ved varsel om innsyn, også inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet, samt resultatet av innsynet. [KOMMENTAR 2 : Hvor arbeidsgiver frykter at den ansatte vil kunne endre og/eller ødelegge bevis dersom han varsles om at innsyn vil bli foretatt, kan arbeidsgiver speilkopiere de områder i det elektroniske nettverket det er rettslig grunnlag for å foreta innsyn i, slik at man har et korrekt øyeblikksbilde av materialet som man kan gå tilbake til ved mistanke om at noe er endret. Innsyn i en slik speilkopi følger de vanlige regler for innsyn i e- postkasse. Det gjøres oppmerksom på at personopplysningsloven inneholder visse særregler for rett til varsling og informasjon, for eksempel i forbindelse med innsyn ved begrunnet mistanke om straffbare forhold. Det anbefales at en arbeidsgiver som vurderer å gjennomføre innsyn i e-postkassen til en ansatt grunnet mistanke om straffbare forhold, søker juridisk veiledning hos advokat. Etterforskning av straffbare forhold er i utgangspunktet tillagt politiet, som vil ha langt videre fullmakter til å gjennomføre innsyn, beslag og sporing av elektronisk dokumentasjon med hjemmel i straffeprosessloven.] 9. Dokumenter lagret på den ansattes private område i arbeidsgivers datanettverk, mobiltelefon (e-post/sms) eller andre elektroniske medier Arbeidsgiver har som utgangspunkt ikke anledning til å gjennomsøke, åpne eller lese dokumenter eller informasjon som er lagret på mobiltelefon, bærbar pc eller andre elektroniske medier/lagringsenheter som arbeidsgiver har stilt til disposisjon for den ansatte til bruk i arbeidet. Tilsvarende gjelder for dokumenter som er lagret på den ansattes private område i arbeidsgivers datanettverk. 2 Ikke en del av instruksen Datadisiplininstruks Side 4 av 6 10.03.2009
Arbeidsgiver har imidlertid adgang til å gjennomføre innsyn i ovenfor nevnte dokumenter, informasjon og lagringsmedier på samme måte og i samme omfang som arbeidsgiver kan foreta innsyn i ansattes e-postkasse, se punkt 7 og 8. 10. Særlige plikter ved opphør av arbeidsforhold I forbindelse med at den ansattes arbeidsforhold opphører og senest innen fratreden, plikter den ansatte å slette all informasjon av privat karakter som befinner seg i e- postkasse, mobiltelefon, bærbar pc eller andre elektroniske medier som arbeidsgiver har stilt til disposisjon for den ansatte til bruk i arbeidet. Arbeidstaker plikter videre å gi arbeidsgiver tilgang til all arbeidsrelatert informasjon, ved at denne lagres på fellesområdet i arbeidsgivers datanettverk eller annet foreskrevet sted. Alternativt kan den ansatte samtykke til at innholdet i den ansattes e-postkasse, på tidspunktet for fratreden, overføres til arbeidsgiver som en del av fellesområdet i arbeidsgivers datanettverk. For at et slikt samtykke skal være gyldig er det en forutsetning at den ansattes e-postkasse gjøres utilgjengelig for mottak av ny informasjon utover tidspunktet for samtykkets avgivelse, og at informasjon underlagt taushetsplikt undergis særskilt behandling i henhold krav som måtte følge av lov eller forskrift. 11. Datavirus [bedriftens navn] har god beskyttelse mot virus. Oppdaterte virusprogrammer må benyttes for at dette systemet skal virke sikkert nok. Alle ansatte må dessuten være forsiktige ved bruk av e-post og internett. Brukere av hjemme-pc og hjemmekontor må følge instruks for oppdatering av virusprogrammer. Dersom datavirus oppdages, skal ITavdelingen/[bedriftens navn] varsles så fort som mulig. 12. Orientering om aktivitetslogger IT-avdelingen/[bedriftens navn] foretar ingen systematisk overvåking av den enkelte ansattes bruk av IT-systemene. IT-systemene har imidlertid innebygde logger som kan spore aktivitet tilbake til den enkelte PC (for eksempel logges IP-adresse når internett brukes). Disse loggene brukes for å overvåke belastningen, planlegge kapasiteten og for å rette feil. 13. Uautoriserte installasjoner av utstyr og programvare/ekstern tilgang Installasjon av programvare utover det som utgjør [bedriftens navn]s IT-plattform skal være faglig begrunnet og skal bare gjøres etter avtale med IT-avdelingen/[bedriftens navn]. Dette fordi PC-oppsettet er standardisert og egne installasjoner vil forsvinne ved reinstallering eller bytte av PC. Den ansatte forplikter seg til å følge de lisensvilkår, lover og regler som gjelder for bruk av programvare. Den ansatte skal bare installere programvare som han/hun som bruker har lisens til å benytte. Arbeidsgiver forbeholder seg retten til uten forutgående varsel å fjerne programvare som ikke følger lisensvilkårene eller norsk lov. Herunder er kopiering av lisensiert programvare forbudt med mindre arbeidsgivers avtale med leverandør uttrykkelig gir adgang til dette. Datadisiplininstruks Side 5 av 6 10.03.2009
14. Privat bruk av arbeidsgivers datautstyr Arbeidsgivers datautstyr (PCer, mobiltelefoner, servere, fellesnett og øvrig infrastruktur) er stilt til den ansattes disposisjon for bruk som arbeidsverktøy. Dette datautstyret kan bare tillates brukt privat i begrenset omfang og på en slik måte at det ikke tar mye kapasitet i fellesnettet. Sunn fornuft og god dømmekraft må være førende for all privat bruk. Bruk av [bedriftens navn]s utstyr for å utføre egen næringsvirksomhet eller arbeid/ oppdrag utenfor [bedriftens navn] kan bare skje så lenge oppdraget skjer i overensstemmelse med de retningslinjer som er fastsatt i personalhåndboken til de respektive enhetene i [bedriftens navn] eller etter avtale med arbeidsgiver. Datadisiplininstruks Side 6 av 6 10.03.2009