KOMMENTAR: Datasikkerhet

Har du cybersikkerhet på hjemmekontoret?

Covid-19 krisen har ført til historisk høy bruk av hjemmekontor. Mange har på kort varsel kastet seg ut i bruk av nye digitale kommunikasjonsløsninger for å opprettholde driften under koronautbruddet. Men hvordan sikrer man at krav til cybersikkerhet og personvern overholdes når ansatte jobber hjemmefra?

Advokat/partner Magnus Ødegaard og Advokatfullmektig Charlotte Hafstad Widerberg, Bing Hodneland advokatselskap DA ,
Advokat/partner Magnus Ødegaard og Advokatfullmektig Charlotte Hafstad Widerberg, Bing Hodneland advokatselskap DA ,

Covid-19 krisen har ført til historisk høy bruk av hjemmekontor. Mange har på kort varsel kastet seg ut i bruk av nye digitale kommunikasjonsløsninger for å opprettholde driften under koronautbruddet. Men hvordan sikrer man at krav til cybersikkerhet og personvern overholdes når ansatte jobber hjemmefra?

Norske bedrifter har etter personvernforordningen (GDPR) ble innført vært flinke til å dokumentere at de følger krav til cybersikkerhet (datasikkerhet) når arbeidet utføres på arbeidsplassen. Men har krav til informasjonssikkerhet og personvern blitt tilpasset hjemmekontoret? Her ser vi ofte både kunnskapshull og sikkerhetshull – og det uavhengig av koronakrisen.

Sikkerhetsbrudd på hjemmekontoret er alvorlig. Det kan være brudd på virksomhetens krav til cybersikkerhet som kan føre til økonomisk ansvar. Under koronakrisen vil strenge krav til GDPR kunne lempes, men brudd på sikkerhetskrav kan likevel føre til omdømmetap og fare for at bedriftshemmeligheter kommer på avveie.

Om kronikkforfatterne

Charlotte Hafstad Widerberg er advokatfullmektig i Bing Hodneland advokatselskap, har mange års erfaring med cyber, sikkerhet og personvern i Forsvaret og har arbeidet som utreder i sekretariatet for Oljefondets Etikkråd. 

Magnus Ødegaard er advokat / partner i Bing Hodneland advokatselskap, og forfatter av boken «Personvern – publisering og behandling av personopplysninger» sammen med Jon Wessel-Aas

Cybersikkerhet er ledelsens ansvar. Mange tenker at sikkerhetsbrudd er angrep utenfra (dataangrep og hackere), men de fleste sikkerhetsbrudd er forårsaket av egne ansatte som ikke følger sikkerhetsrutinene. Ledelsen må sørge for at hjemmekontoret tas i bruk på en sikker nok måte, bl.a. ved å lære opp de ansatte om hvordan bruke trygge nok systemer og utøve gode sikkerhetsrutiner.

Hvordan ha kontroll når ingen er på kontoret? 

Kort forklart skal bedriftens sikkerhetsrutiner og kommunikasjonsverktøy være kjent for den ansatte, dette er en del av bedriftens internkontroll. Etter at GDPR ble innført i juli 2018 skal bedrifter for aktiviteter som de har behandlingsansvar for, vise at de har gjennomført egnede tekniske og organisatoriske tiltak for å sikre og dokumentere at behandlingen utføres i samsvar med kravene i GDPR.

Et eksempel på organisatorisk tiltak er at alle ansatte vet hvem de skal kontakte ved feil, f.eks. om den ansatte på hjemmekontoret oppdager datavirus, hacking eller annet sikkerhetsbrudd.

Et annet eksempel er at virksomheten bør ha tilpasset BCP-planer (Business Continuity Plan) for dets virksomhet. Dette kan f.eks. være ulike planer som skal sikre forretningskontinuitet dersom bedriften rammes av datainnbrudd, terrorangrep eller løsepengevirus.

Hvilke krav gjelder for ansattes hjemmekontor?

Siden bruk av hjemmekontor åpner for en rekke sårbarheter, anbefaler vi at cybersikkerhet er en integrert del av virksomhetens hjemmekontorløsning fra starten av og uavhengig av koronautbruddet. Bedriften må gjennomføre risikovurderinger - også av leverandørers løsninger som hjemmekontoret bruker.

Hva er de 6 viktigste kravene til cybersikkerhet etter GDPR som også gjelder for hjemmekontoret?

  1. Etter artikkel 32 skal den behandlingsansvarlige (ledelsen) etablere tiltak for å sikre personopplysninger mot uautorisert eller utilsiktet tilgang, videreformidling, endring og/eller sletting. Hver virksomhet må f.eks. bare bruke hjemmekontorløsninger som har god nok cybersikkerhet.
  2. Dersom hjemmekontoret skal bruke en videokommunikasjonstjeneste som f.eks. Microsoft Teams, må virksomheten også dokumentere å ha risikovurdert cybersikkerheten Microsoft tilbyr via denne løsningen.
  3. I tillegg må databehandleravtalen som Microsoft tilbyr vurderes av bedriften for å klarlegge om kravene i GDPR artikkel 28 til innhold for gyldig databehandleravtale oppfylles. Microsoft endrer jevnlig sine standard tjenestevilkår, og dette medfører at kunder også må foreta en ny vurdering etter slik endring. 
  4. Dersom virksomheten bestemmer at Teams eller annen løsning skal brukes av ansatte med hjemmekontor, må virksomheten i tillegg – og på forhånd – dokumentere å ha foretatt en personvernkonsekvensanalyse etter GDPR artikkel 35.
  5. Dersom bedriften ikke har råd til eller mulighet til å være sikker på at risikoen for de ansattes personvern er redusert ned fra høy risiko, må virksomheten gjennomføre forhåndsdrøftelse med Datatilsynet etter artikkel 36 eller la være å ta slik ny løsning i bruk.
  6. Bedriften må velge personvennlige løsninger, samt påse at innstillingene i de løsningene de ansatte bruker er stilt inn slik at bare nødvendige personopplysninger behandles. Dette kravet om innebygd personvern følger av artikkel 25.

Følg tips om sikkerhetstiltak fra NSM

Nasjonal sikkerhetsmyndighet (NSM) har publisert god informasjon om hvordan virksomheter bør sikre seg mot de risikoer som følger med hjemmekontorbruk under Covid-19 krisen, f.eks. at bedriften vurderer bruk av riktig utstyr på hjemmekontoret og sikrer tilganger med VPN og 2-faktor autentisering.

Vi mener de gode rådene fra NSM for hjemmekontorløsninger også bør gjelde etter at krisen er over. 

Norske bedrifter er gode på brannøvelser, alarmer og fysiske sikkerhetstiltak på arbeidsplassen. Nå bør de digitale sikkerhetstiltakene få samme fokus – både på kontoret og hjemmekontoret. Verdiskapning og cybersikkerhet går hånd i hånd og trygger både kunder, ansatte og bedriften.

Les også