- Feil! Det er ingen tekst med den angitte stilen i dokumentet. Tilgangskontroll i arbeidslivet Rettleiar frå Datatilsynet Juli 2010
Tilgangskontroll i arbeidslivet Elektroniske tilgangskontrollar for å kome inn og ut av arbeidsplassen har vorte stadig meir vanleg. Systemet styrer kven som skal ha tilgang til ulike område, og lagrar i enkelte høve informasjon om passeringar inn og ut av bestemde område. Datatilsynet ynskjer å klargjere kva som må gjerast før eit slikt system kan takast i bruk, og kva for plikter som fylgjer av bruken. Dersom systemet blir brukt som eit reint nøkkelkortsystem utan lagring av passeringar eller andre personopplysingar, er reglane noko annleis. Rettleiaren er skriven for arbeidslivet, men det meste av innhaldet vil og vere gjeldane for andre sektorar. Vurderingar før start Arbeidsmiljølova Eit tilgangskontrollsystem med lagring av passeringar vil være eit overvakingstiltak ovanfor dei tilsette. Før ein tek i bruk slike tiltak føreset arbeidsmiljølova kapittel 9 at ein drøftar systemet med dei tilsette sine representantar. 1 Alle tilsette må få informasjon om korleis systemet skal brukast, kva formålet er samt kva rettar og plikter verksemda og dei tilsette har i tilknyting til systemet. Arbeidsmiljølova er ikkje Datatilsynet sitt myndigheitsområde, men ved bruk av tilgangskontrollsystem må både arbeidsmiljølova og personopplysningslova sjåast i samanheng. Førstnemnde avgjer om verksemda kan innføre tiltaket medan personopplysningslova klargjer korleis personopplysningane eventuelt skal behandlast. Formål Verksemda må ha klare tankar om formålet med systemet. Formålet vil normalt vere å sikre verdiar, bygg og liknande. Å kontrollere om den tilsette gjer jobben sin vil ikkje vere i samsvar med eit slikt formål. Det er viktig å klart fastsette formålet då dette set rammene for bruken av systemet. Behandlingsgrunnlag - interesseavveging Personopplysingslova 8 stiller krav til når personopplysingar kan behandlast. For innføring av tilgangskontroll vil det normalt være 8 f) som er aktuelt. Dersom den ansvarlege har ei rettmessig interesse i at opplysningane blir behandla og omsynet til den registrerte ikkje overstig denne interessa, kan opplysingane behandlast. Det betyr at ein må gjere ei avveging av interessene mellom arbeidsgjevaren sine behov og den tilsette sitt personvern. Avveginga vil normalt forme måten systemet blir innretta på, og då spesielt kvar og når det er nødvendig å lagre informasjon om passeringar. Denne avveginga må drøftast med dei tilsette sine representantar, og samanfell med krava i arbeidsmiljølova. 1 Arbeidstilsynet kan gjeve nærmare rettleiing om slike drøftingar.
Eit alternativt behandlingsgrunnlag er samtykke frå den tilsette. I arbeidslivet let dette seg vanskeleg gjennomføre, sidan samtykket sjeldan kan baserast på reell fridom for arbeidstakaren. Nødvendige opplysningar Systemet kan berre innehalde opplysingar som er nødvendige for at formålet skal kunne oppfyllast. Dette kan vere: - Opplysingar om korthaldar; internnummer, bilnummer eller firmatilknyting. - Autorisasjonsopplysingar; kva område den enkelt har tilgang til og i kva tidsrom tilgangen gjeld. - Passeringsopplysingar; når ulike kontrollpunkt er passert. For passeringsopplysningar må ein òg vurdere for kva passeringspunkt og når det er nødvendig å registrere denne informasjonen. Bruk av PIN-kode eller liknande Ved lagring av passeringsopplysningar er det nødvendig at desse opplysningane har tilstrekkeleg kvalitet om dei skal brukast til å følgje opp hendingar. Kravet om at opplysningar skal vere korrekte er stilt i personopplysningslova 11 e). Etter Datatilsynet si vurdering vil lagring av passerigar når det berre blir brukt passeringskort gje for dårleg kvalitet på opplysningane til at dei kan registrerast og seinare brukast. Derfor kan passeringar berre lagrast når det skjer ei sterk autentisering, normalt ved at den tilsette bruker PIN-kode saman med tilgangskortet. Datatilsynet meiner også at ein slik praksis støttar interessene til den registrerte ved at kvaliteten i dei lagra opplysningane blir sikra, jamfør interesseavveginga. Ved passeringar utan lagring er det opp til den ansvarlege å vurdere kor sterk autentiseringa skal vere, for eksempel om berre kort er tilstrekkeleg eller om det skal nyttast PIN-kode i tillegg. Dette gjeld også bruk av eit system kor logging er mogleg, men kor logginga ikkje er i bruk i den aktuelle situasjonen. Meld i frå om oppstart Før ein kan ta i bruk eit tilgangskontrollsystem må ein varsle Datatilsynet om oppstarten. Det skal skje seinast 30 dagar før systemet vert teke i bruk. Melding om at systemet er i bruk må fornyast kvart tredje år. Meldeskjema finner du på www.datatilsynet.no under plikter Informasjon og innsyn Den som blir registrert i eit tilgangskontrollsystem skal bli informert om dette. Informasjonen skal gjere den tilsette klar over kva som er formålet med registreringa, kven som får tilgang til opplysingane og korleis opplysingane skal brukast. Det bør også bli gjeve informasjon om kor lenge opplysingane blir lagra i samsvar med personopplysningsloven 19.
Dei registrerte har innsynsrett i opplysingar om seg sjølv, slik at dei har høve til å oppdage og endre feilregistreringar. Dette fylgjer av personopplysningslova 18. Det skal bli informert om at denne retten finst. Gode måtar å informere dei tilsette kan vere å ta opp bruken av systemet på eit allmøte, lage eigne informasjonsskriv som alle får, og samstundes sørgje for at alle nytilsette får same informasjonen når dei startar i verksemda. Alle har krav på informasjon om dette tiltaket og rutinar i tilknyting til det. Tilgang til og utlevering av opplysingar Tilgangen til passeringsloggen må avgrensast slik at det berre er dei i verksemda som har eit klart behov for det som kan opne loggen og ta ut informasjon. Slik tilgang skal vere avgrensa i samsvar med formålet med anlegget. Dette vil i praksis vere avgrensa til dei som følgjer opp sikkerheitsrelaterte hendingar. Opplysingar frå tilgangskontrollsystemet kan ikkje leverast ut til utanforståande utan samtykke frå dei opplysingane gjeld. Politiet kan likevel krevje at opplysingane blir utlevert som ledd i etterforskinga av ei straffbar sak. Vaktselskap (Databehandlar) Fleire verksemder har også avtalar med vaktselskap i samband med tilgangssystem. Dersom vaktselskapet behandlar personopplysningar, som i tilgangskontrollsystemet, må det teiknast ein databehandlaravtale som klargjer forholdet mellom vaktselskapet og verksemda. Les meir om databehandlaravtale under plikter på datatilsynet.no Sletting av opplysingar Lova krev at personopplysingar ikkje skal lagrast lenger enn nødvendig. Det er opp til den behandlingsansvarlege å vurdere kor lenge det er behov for opplysingane. Vurderinga må takast ut frå omsyn til tryggleiken og vil variere frå verksemd til verksemd. Under normale høve ser Datatilsynet på 90 dagar som maksimal lagringstid for passeringsopplysningar. Kopling mot andre system I utgangspunktet kan ikkje opplysningane i tilgangskontrollsystemet nyttast til andre formål, som for eksempel registrering av arbeidstid.
Systemet kan likevel nyttast til slik registrering dersom det krev ei særskild handling frå arbeidstakaren å registrere arbeidstida, og lagring av arbeidstidsinformasjonen blir logisk skilt frå passeringsloggen. Det kan heller ikkje vere mogleg å kople desse opplysingane saman. Ofte gjev tilgangskontrollsystemet alarmar om uautorisert opning av dører og feil på dører. Slike alarmar kan og nyttas vidare i for eksempel videoovervaking. Internkontroll Personopplysningslova 14 og personopplysningsforskrifta kapittel 3 stiller krav om internkontroll. Det er krav om at verksemda sørgjer for at regelverket blir følgd ved å dokumentere sine vurderingar og rutinar. Dokumenterte vurderingar - Fastsetting av behandlingsansvaret (ansvarleg verksemd). - Dokumentere at krava i arbeidsmiljølova til drøfting er ivaretekne. - Dokumentere formålet, jamfør personopplysningslova 11 b). - Dokumentere kva personopplysningar det er nødvendig å registrere, jamfør personopplysningslova 11 d) og e). - Dokumentere behandlingsgrunnlaget, jamfør personopplysningslova 11 a), jamfør 8. - Fastsette kven som skal ha tilgang til registrete opplysningar i systemet, særskilt logg. - Fastsette kven som kan krevje å få passeringsloggen. Rutinar for den daglege bruken - Informasjon til dei tilsette, jamfør 19. - Innsyn til dei tilsette, jamfør 18. - Innsyn i passeringslogg for oppfølging. - Tildeling av tilgangar til systemet. - Rutinar for administrasjon av systemet. Oppfølging av bruken Det er forventa at verksemda regelmessig følgje opp om bruken er i samsvar med regelverket. Det vil til dømes seie å sjekke om systemet framleis har gyldig melding, at informasjon blir gjeve til nytilsette, at opplysingar blir sletta, og at berre autoriserte personar har tilgang i systemet. Les meir om internkontroll og informasjonstryggleik på http://www.datatilsynet.no/internkontroll.