Unngå sikkerhetsbrudd på hjemmekontoret

Av: Advokatfullmektig Charlotte Hafstad Widerberg og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.

Norske bedrifter har etter personvernforordningen (GDPR) ble innført vært flinke til å dokumentere at de følger krav til cybersikkerhet (datasikkerhet) når arbeidet utføres på arbeidsplassen. 

Spørsmålet er imidlertid om man har rukket å implementere tilsvarende tiltak som skal sikre informasjonssikkerhet og personvern på hjemmekontoret? 

Her ser vi ofte kunnskapshull og sikkerhetshull, og det uavhengig av coronakrisen.

Sikkerhetsbrudd på hjemmekontoret er alvorlig. Dette kan være brudd på virksomhetens krav til cybersikkerhet som kan føre til økonomisk ansvar. Under coronakrisen vil strenge krav til GDPR kunne lempes, men brudd på sikkerhetskrav kan likevel føre til omdømmetap og fare for at bedriftshemmeligheter kommer på avveie.

Charlotte Hafstad Widerberg, advokatfullmektig i Bing Hodneland advokatselskap, har mange års erfaring med cybersikkerhet og personvern i Forsvaret og har arbeidet som utreder i sekretariatet for Oljefondets Etikkråd Foto: Bing Hodneland

Cybersikkerhet er ledelsens ansvar. Det skrives mye om faren for cybersikkerhetsbrudd gjennom angrep utenfra (dataangrep og hackere), men de fleste sikkerhetsbrudd er forårsaket av egne ansatte som ikke følger sikkerhetsrutinene. 

Ledelsen har ansvaret for at hjemmekontoret tas i bruk på en sikker nok måte, blant annet ved å lære opp ansatte om hvordan bruke trygge nok systemer og utøve gode sikkerhetsrutiner.

Risikovurder og implementer tekniske og organisatoriske tiltak Kort forklart skal bedriftens sikkerhetsrutiner og kommunikasjonsverktøy være kjent for den ansatte, dette er en del av bedriftens internkontroll. 

Etter GDPR skal bedrifter for aktiviteter som de har behandlingsansvar for, vise at de har gjennomført egnede tekniske og organisatoriske tiltak for å sikre og dokumentere at behandlingen utføres i samsvar med kravene i GDPR.

Slike tiltak bør bygge på en risiko og sårbarhetsanalyse, der bedriftens vesentligste sårbarheter i forhold til hjemmekontor vurderes. 

Hvilke type data behandler ansatte hjemmefra – er det sensitive personopplysninger eller taushetsbelagt informasjon som det må stilles ekstra strenge krav til? 

Hvilken teknisk infrastruktur og utstyr benyttes hjemmefra? Har de ansatte, inklusive ledelsen, fått opplæring i cybersikkerhet slik at kravene kan overholdes med tanke på dagens trusselbilde?

Videre bør bedriften ha tilpasset BCP-planer (Business Continuity Plan) for dets virksomhet. 

Dette kan være ulike planer som skal sikre forretningskontinuitet dersom bedriften rammes av datainnbrudd, løsepengevirus, eller stort personellfravær ved en pandemi.

Hva er de viktigste kravene for ansattes hjemmekontor?

Siden bruk av hjemmekontor åpner for en rekke sårbarheter, anbefaler vi at cybersikkerhet er en integrert del av bedriftens hjemmekontorløsning fra starten av og uavhengig av coronautbruddet. Bedriften må gjennomføre risikovurderinger - også av leverandørers løsninger som benyttes på hjemmekontoret.

Dette er de viktigste kravene til cybersikkerhet etter GDPR som også gjelder for hjemmekontoret:

Den behandlingsansvarlige (ledelsen) skal etablere tiltak for å sikre personopplysninger mot uautorisert eller utilsiktet tilgang, videreformidling, endring og/eller sletting. Hver bedrift må f.eks. bare bruke hjemmekontorløsninger som har god nok cybersikkerhet.

Dersom hjemmekontoret skal bruke en videokommunikasjonstjeneste som f.eks. Microsoft Teams, må bedriften også dokumentere å ha risikovurdert cybersikkerheten Microsoft tilbyr via denne løsningen.

I tillegg må databehandleravtalen som Microsoft tilbyr kunder av slik tjeneste, vurderes av bedriften for å klarlegge om innholdskravene for gyldig databehandleravtale oppfylles. 

Microsoft endrer jevnlig sine standard tjenestevilkår som inkluderer deres databehandleravtale, og dette medfører at bedrifter også må foreta en ny vurdering av oppdaterte avtalevilkår.

Dersom bedriften bestemmer at Teams eller annen løsning skal brukes av ansatte med hjemmekontor, må virksomheten i tillegg – og på forhånd – dokumentere å ha foretatt en personvernkonsekvensanalyse.

Dersom bedriften ikke har råd til eller mulighet til å være sikker på at risikoen for de ansattes personvern er redusert ned fra høy risiko, må virksomheten gjennomføre forhåndsdrøftelse med Datatilsynet eller la være å ta slik ny løsning i bruk.

Bedriften må velge personvennlige løsninger på produkter de ansatte pålegges å bruke på hjemmekontoret. I tillegg må bedriften passe på at innstillingene i de valgte løsningene de ansatte bruker er stilt inn slik at bare nødvendige personopplysninger behandles.

Følg NSM sine råd om sikkerhetstiltak

Nasjonal sikkerhetsmyndighet (NSM) publiserer løpende god informasjon om hvordan bedrifter bør sikre seg mot de risikoer som følger med hjemmekontorbruk under Covid-19 krisen. Eksempelvis at bedriften vurderer bruk av riktig utstyr på hjemmekontoret og sikrer tilganger med VPN og 2-faktor autentisering, samt råd om sikring av videokonferanseløsninger.

Vi mener de gode rådene fra NSM for hjemmekontorløsninger også bør gjelde etter at krisen er over. NSMs grunnprinsipper for IKT-sikkerhet versjon 2.0 ble ferdigstilt 15. april 2020. I dette dokumentet redegjøres det for hensiktsmessige tiltak som bedrifter bør anvende for å beskytte bedriftens IT-løsninger, herunder hjemmekontoret, mot uautorisert tilgang, skade eller misbruk.

Norske bedrifter er gode på brannøvelser, alarmer og fysiske sikkerhetstiltak på arbeidsplassen. Nå bør de digitale sikkerhetstiltakene få samme fokus – både på kontoret og hjemmekontoret. Implementeres de nevnte kravene i hjemmekontorløsningen, reduseres også bedriftens risiko for potensielt omdømmetap og økonomisk ansvar.

Artikkelen er skrevet av advokatfullmektig Charlotte Hafstad Widerberg og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.