Hold dingsen din for deg selv

KRONIKK: MDM-programvaren norske bedrifter bruker er ikke nødvendigvis lovlig, skriver Per Thorsheim.

Publisert Sist oppdatert

Norske Yougov har gjort en undersøkelse for Trend Micro som viser at 60 prosent av arbeidende nordmenn har brukt en privat smartmobil, PC eller nettbrett til å håndtere jobbrelatert informasjon.

Undersøkelsen har fått behørig dekning i Aftenposten, med supplerende uttalelser fra NorSIS, NSM, Næringslivets Sikkerhetsråd. Det er gode kommentarer, og det er grunn til bekymring over utviklingen med privat bruk av utstyr til jobbformål.

Djevelen ligger på lur i de juridiske detaljene. Artikkelen hos Aftenposten sier følgende om personvern-problematikk i sin artikkel:

"*Personvern* Et aspekt med å bruke egen dings til jobb er informasjonssikkerhet for bedriften. Men også personvernet til den ansatte kan være i fare. Særlig dersom arbeidsgiver krever at du skal installere programvare som gjør at arbeidsgiver kan kontrollere deler av mobilen/PC-en - såkalt MDM-programvare."

Dette er et punkt jeg har tatt med Advokatbladet gjennom artikler i hhv september 2011 og april 2012: "Er styremedlemmer en sikkerhetsrisiko?" "Bring Your Own Device"

Datatilsynets epost-forskrift sier følgende: "Innsynsrett gjelder ikke i utstyr som arbeidstaker selv eier. Dette betyr at arbeidsgiver ikke har innsynsrett i dokumenter som er lagret i arbeidstakers private utstyr, selv om dette fra tid til annen benyttes til arbeidsrelaterte aktiviteter."

Her er det viktig å skille mellom innsyn og for eksempel funksjoner for sporing av utstyr eller fjernsletting.

Arbeidsgiver har ikke lov til å kreve eller inngå noen "frivillig" avtale med ansatte som gir arbeidsgiver innsyn i private data. Imidlertid kan det benyttes en løsning hvor en enkelt app inneholder alle arbeidsgivers data, og arbeidsgiver har full kontroll over appen med tilhørende data, ingenting annet.

På denne måten kan det lovlig etableres en løsning som ivaretar tre ønsker: den ansattes personvern, ønsket om å la barna spille på Ipaden og arbeidsgivers kontroll over egne data.

Uten å ha sett spørsmålene som er stilt eller sett rapporten fra Trend Micro, så minner jeg om at regelverk for personvern i Norge er sterkere enn i mange andre land.

Produkter & undersøkelser som ikke er utarbeidet eller implementert i tråd med Norsk regelverk kan heller ikke forventes å tilfredsstille disse. Hvor mange av dagens implementerte MDM-løsninger i Norge bryter med dagens lovverk?

Det er jo som kjent ikke lov å bryte loven for å beskytte seg mot lovbrudd.

Per Thorsheim er sikkerhetsekspert. Les bloggen hans her.