Domene og webhotell fra OnNet.no

    Denne artikkelen er del 8 av 15 artikler om Personvern

Lag et reglement for bruk av e-post i jobbsammenheng

For å sørge for at e-postsystemet blir brukt på en effektiv måte i jobbsammenheng, og for å unngå konflikter og misbruk fra de ansatte, bør det utvikles et reglement for bruken av virksomhetens e-postsystem i jobbsammenheng. Dette reglementet bør minimum omhandle:

Privat bruk av virksomhetens e-postadresse

Skal det være tillatt for de ansatte å bruke e-postadressen de har fått av virksomheten privat? Ulike firmaer har ulike syn på dette. Uansett hvilket syn virksomheten har på dette er det viktig at dette defineres skriftlig, slik at alle er klar over reglene og ikke kan påberope seg at de ikke viste om dette.

Passordregler

Den vanligste måten hackere får tak i sensitiv informasjon som lagres i en e-postkonto er gjennom å tippe eller snappe opp brukerens passord til e-postkontoen. Det samme gjelder spammere som prøver å bryte seg inn for å sende ut spam fra den ansattes e-postkonto og -adresse.

For å sikre de ansattes e-postkontoer mot datainnbrudd, er det påkrevd at det lages gode passordregler som nedfelles i e-post reglementet og som følges opp av en IT-ansvarlig som sørger for at dette skjer i praksis. En mulighet er å sette på en funksjon på e-postkontoene som gjør at passordet må byttes hver 3- eller 6 måned. Sett i så fall på funksjonen som krever at brukeren oppgir et «komplisert passord». Det vil si et passord bestående av minst 8 tegn, med en kombinasjon av store og små bokstaver, tall og spesialtegn.

Surferegler for e-post

For å unngå datainnbrudd og trojanere, ormer og virus som stjeler informasjon fra maskinen eller telefonen, kreves det bruk av «sunn fornuft» når man åpner, leser og sender e-post med en av virksomhetens e-postkontoer. Det samme gjelder for spredningen av e-postadressen, og annen sensitiv informasjon som kan utnyttes av andre.

Sett derfor opp et «nettvett» reglement som en del av e-post reglementet.

Innsyn i e-post og private file

Datatilsynet sier at arbeidsgiver kan gjøre innsyn i ansattes e-post eller private filer når det er grunn til å tro at det er informasjon i e-postkassen som er nødvendig for å drive virksomheten.

Arbeidsgiver kan også gjøre innsyn i tilfeller der det er mistanke om grove brudd på arbeidstakerens plikter. I slike tilfeller har arbeidsgiveren rett til å gjennomsøke, åpne eller lese e-post i arbeidstakerens e-postkasse.

Behov for å ivareta driften

Datatilsynet sier at innsyn kan være tillatt i tilfeller der arbeidstakerens er fraværende over lang tid, dersom det er god grunn til å tro at det er kommet meldinger i e-postkassen som har med virksomheten å gjøre og som arbeidsgiveren trenger for å drive virksomheten.

Det er ingen klare regler for hvor langvarig fraværet må være for at det skal være legitimt å gjøre innsyn, men hvor lenge arbeidstakeren blir borte må tas med i vurderingen av om innsynet er nødvendig. 

Loven slår fast at i tillegg til innsyn for å ivareta driften, kan det finnes «andre berettigede interesser ved virksomheten» som gjør at innsyn kan være legitimt. Et eksempel kan være behovet for å ivareta virksomhetens rykte, sier Datatilsynet.

Mistanke om grove brudd på arbeidsavtalen

Datatilsynet sier at innsyn kan også være berettiget dersom arbeidsgiveren har mistanke om at arbeidstaker bruker e-postkassen på en måte som medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller som kan gi grunnlag for oppsigelse eller avskjed. Mistanken må begrunnes av arbeidsgiver, og pliktbruddet må være grovt.

Kravet vil normalt være oppfylt dersom e-postkassen benyttes til å gjennomføre straffbare forhold, for eksempel at den ansatte laster ned eller videresender barnepornografi eller driver med ulovlig fildeling.

Kravet vil også være oppfylt om arbeidsgiver har en begrunnet mistanke om at arbeidstakers bruk av e-postkassen gir grunnlag for oppsigelse eller avskjed. Det kan være i tilfeller der det er tale om mistanke om at e-postkassen benyttes for eksempel til trakassering av kolleger eller til utsending av spam eller e-post med skadelig innhold.

Arbeidstakeren kan selv uoppfordret gi arbeidsgiver rett til innsyn, for eksempel ved uventet sykdom, påpeker Datatilsynet.

Hvordan gå fram ved innsyn?

Dersom arbeidsgiveren mener at vilkårene for innsyn i e-post er oppfylt, skal det så langt som mulig sendes varsel om innsyn til arbeidstakeren. Varselet skal inneholde:

  1. en begrunnelse for hvorfor innsynet skal gjøres, altså hvorfor arbeidsgiveren mener vilkårene i § 9-2 er oppfylt
  2. informasjon om arbeidstakerens rettigheter.

Arbeidstakeren skal gis anledning til å uttale seg før arbeidsgiveren gjennomfører innsynet så langt det lar seg gjøre, og de skal så langt som mulig gis anledning til å være til stede under selve gjennomføringen. Kravene innebærer at arbeidsgiveren må sette frister som gjør at arbeidstakeren har reell mulighet til å bruke rettighetene sine. Arbeidstakeren har dessuten rett til å få bistand av en tillitsvalgt eller en annen representant.

Dersom innsyn er gjort uten at arbeidstakeren er varslet, for eksempel i tilfeller der man ikke rekker å varsle før innsyn eller at den ansatte ikke er mulig å få tak i, skal den ansatte gis beskjed så snart innsynet er gjennomført. Datatilsynet anbefaler dessuten at arbeidsgiver fører protokoll sammen med arbeidstakeren under selve innsynet, da det ofte kan oppstå uenigheter i etterkant om hva som faktisk ble gjort.

Kravet om varsling så snart innsynet er gjennomført er et strengt vilkår. Abeidsgiveren skal informere den ansatte så raskt det lar seg gjøre.

Arbeidstakeren skal ha informasjon om:

  • hvorfor vilkårene for innsyn anses som oppfylt,
  • hvilke rettigheter arbeidstakeren har etter forskriften,
  • hvilken metode som er benyttet ved innsynet,
  • hvilke e-poster eller andre dokumenter som ble åpnet,
  • samtresultatet av innsynet

Punktet om hvilken metode som ble brukt i innsynet betyr at arbeidsgiveren for eksempel må opplyse om det er gjort innsyn i selve e-postkassen, søkt etter særlige ord og uttrykk på maskinen til den ansatte, gjenopprettet slettet materiale eller liknende. Dersom arbeidsgiveren har benyttet en databehandler, eksempelvis for å rekonstruere filer, bør dette opplyses. Kravet til å gi opplysninger om hvilke e-poster eller dokumenter som ble åpnet, betyr at det må gis en oversikt over hvilke dokumenter det ble gjort innsyn i. Dersom arbeidstaker hadde hatt mulighet til å være til stede under gjennomføringen, ville vedkommende sett alle dokumenter som ble gjennomgått, og tilsvarende må derfor gjelde når arbeidstakeren får informasjon i etterkant, skriver Datatilsynet.

E-postkontoen og innholdet må slettes når arbeidsforholdet tar slutt

Arbeidstakerens e‑postkasse skal avsluttes når arbeidsforholdet opphører. Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid.

Kilde: Datatilsynet

Du leser nå artikkelserien: Personvern

  Gå til neste / forrige artikkel i artikkelserien: << Internett overvåkingKameraovervåking på arbeidsplassen >>
    Andre artikler i serien er: 
  • Personvern
  • Informasjonskapsel
  • Innebygd personvern
  • Personvernerklæring
  • Personvernerklæring mal
  • Personvern på arbeidsplassen og i jobbintervju
  • Internett overvåking
  • E-postovervåking og innsyn i e-post
  • Kameraovervåking på arbeidsplassen
  • Mobil overvåkning av ansatte, utstyr og varer
  • Elektroniske kjørebok
  • Flåtestyring
  • Big Data – personvernprinsipper under press
  • Hvem står juridisk ansvarlig for sikringen og innholdet i nettskyen?
  • Personvernombud
    • Kjetil Sander
    Kjetil Sander
    Kjetil Sander (f.1968) grunnlegger, redaktør, forfatter og serieentreprenør. Gunnla Kunnskapssenteret.com i 2001 (i dag eStudie.no) og har siden vært portalens redaktør. Utdannet Diplom økonom og Diplom markedsfører fra BI/NMH. Har i dag mer enn 30 års erfaring som serieentreprenør, leder og styremedlem.

    LIGNENDE ARTIKLERMER FRA FORFATTEREN