BYOD hindrer innsynsretten

Kjære styreleder, daglig leder, ikt-sjef, compliance officer og sikkerhetsansvarlig. Noen ganger mistenker man at konkurransesensitiv informasjon lekkes ut av en bedrift. Hvis ansatte tillates å bruke privat datautstyr, så kan dere ikke gjennomføre lovlig innsyn i utstyret for å etterforske hvem som har lekket informasjon. Dette er viktig.

Vi har den siste tiden arbeidet med flere saker hvor arbeidsgiver mistenker at en ansatt har utlevert konkurransesensitiv informasjon til konkurrenter. Slike situasjoner er meget ubehagelige og har potensielt store økonomiske eller renommémessige konsekvenser for virksomheten. Vi skal naturligvis ikke gå inn på detaljer, men sakene illustrerer et meget viktig praktisk poeng.

Påstander og mistanke om illojal oppførsel hos arbeidstaker er jo ikke helt uvanlig, og utløser ofte undersøkelser som innsyn i epost, innsyn i datamaskiner og kanskje også gjennomgang av telefonlogger. Ofte finner man bevis for illojal opptreden gjennom slike gjenomganger. Andre ganger finner man ingenting, og det kan være minst like viktig. Det å kunne renvaske en ansatt for mistanke, kan være en stor lettelse i en organisasjon og ikke minst for den det gjelder.

Det er ikke vanskelig å gjennomføre slike undersøkelser på en lovlig måte så lenge man følger bestemmelsene i personopplysningsloven. Datatilsynet har utmerket informasjon om hvordan man skal gå frem på sine hjemmesider. Det er blant annet viktig å ha varsel om innsyn, sporbarhet om selve innsynsprosessen og partene skal enes om hva som er relevante søkeord slik at den mistenktes personvern ivaretas. Det er også vanlig at arbeidsgiver betaler kostnader som den ansatte påføres, typisk til hjelp fra advokat. Hvis ikke, utsetter arbeidsgiver seg for et erstatningsansvar når intet kritikkverdig finnes. Men det er ett sentralt problem med reglene i forhold til ansatte som eier sitt eget utstyr. Reglene om innsynsrett for arbeidsgiver gjelder bare når det er arbeidsgiver som eier utstyret.

Dette betyr at en arbeidstaker som selv har kjøpt sin datamaskin, mobiltelefon eller annet elektronisk utstyr, kan hindre at arbeidsgiver får innsyn i dette. Vi ser gjentatte ganger at dette kommer som en ubehagelig overraskelse for både arbeidsgivere og advokater.

Det er en trend at arbeidstakere tillates å bruke sitt eget datautstyr . På nynorsk kalles dette som kjent BYOD – Bring Your Own Device. Vi forstår fenomenet godt, for vi har også personlige preferanser om hvilket datautstyr og hvilke mobiltelefoner vi foretrekker å bruke. Vi har samtidig merket oss diskusjonen om hvilke teknologiske utfordringer dette medfører, og det er lett å forstå frustrasjonen rundt mange ulike tekniske formater. Men BYOD gir altså ikke bare tekniske utfordringer for ikt-avdelingen. Det kan ha store konsekvenser for muligheten til å undersøke illojal opptreden hos ansatte også. Og i forlengelsen av dette - det gjelder ikke bare ansatte.

Mange styremedlemmer mottar store mengder konkurransesensitiv informasjon på epost. Til datamaskiner de enten eier selv eller som eies av andre. Det er ganske vanlig at styremedlemmets vanlige arbeidsgiver eier vedkommendes datamaskinen – og datamaskinen inneholder sensitiv informasjon om ett annet selskap hvor vedkommende er styremedlem. Noen ganger mistenker man at det er styremedlemmer som lekker sensitiv informasjon. Hvis styremedlemmet bruker en datamaskin som andre eier, kan man ikke enkelt gjøre et innsyn for å søke å bekrefte eller avkrefte mistanken. I utlandet, hvor kravene til kontroll og compliance ofte praktiseres strengere enn her i Norge, er det en tendens til at styremedlemmer får dedikerte datamaskiner for styrearbeid. Årsaken til dette er nettopp muligheten til å kunne kontrollere hvordan informasjonen spres.

Når man mistenker at det foreligger illojalitet som skader en virksomhet, er viljen til å lete etter bevis ofte stor. I vår tid er stadig mer av kommunikasjonen mellom mennesker sporbar i ettertid. Vi mener det er viktig at slik informasjonsinnhenting tar hensyn til personvernet til de det gjelder, men samtidig er det viktig virksomheter kan beskytte seg når noe faktisk går galt.

For spesielt interesserte, kan nevnes at man kan få gjennomført undersøkelser også på privat datautstyr, men da må man enten bruke spesielle bestemmelser i tvisteloven eller man må la politiet etterforske saken. Prosessen om bevissikring i henhold til tvisteloven tar lenger tid og krever betydelig større kostnader enn innsyn etter personopplysningsloven. I praksis er det ikke alltid politiet har kapasitet til å etterforske saker om påstått illojalitet og det vil også ofte ta for lang tid i forhold til kommersielle behov. Disse metodene er derfor ikke alltid praktisk gjennomførbare.

Så hva er budskapet? Tenk på hvor sårbar din virksomheten er dersom konkurransesensitiv informasjon kommer på avveie. Vil det være helt avgjørende å kunne avdekke hvem som har lekket informasjon, stanse videre lekkasjer og eventuelt ta ut erstatningssøksmål for økonomiske konsekvenser? Svarene avhenger av hvilken bransje man er. Noen bransjer er rett og slett mer sårbare enn andre og noen virksomheter er mer sårbare enn andre.

Hvis det er viktig å kunne stoppe lekkasjer hurtig, så bør viljen til å akseptere BYOD være liten. Like viktig er det å ha en bevisst policy på hvem eller hvilke funksjoner i en virksomhet som absolutt ikke skal ha privat datautstyr. Ha en fortreffelig sommer!