De nye reglene for behandling av personvern må føre til at en rekke norske virksomheter innfører langt strengere regler for de ansattes frihet til å bruke egne mobiltelefoner og PC-er på jobb. Det mener cybersikkerhetseksperten i Norsk senter for informasjonssikring (NorSIS), Bjarte Malmedal.
– Hadde jeg ikke hatt regler for denne type bruk av privat utstyr på jobben, hadde jeg vært livredd, sier Malmedal.
Kan risikere gigantbøter ved regelbrudd
EUs nye personvernforordning, GDPR, vil snart bli innført i Norge. Denne stiller langt strengere krav til virksomheters lagring og oppbevaring av personopplysninger. Malmedal sier at bruken av egne PC-er og mobiltelefoner der dokumenter med personopplysninger lastes ned fra arbeidsplassens sikre nettverk, er en stor utfordring.
– På en rekke norske arbeidsplasser brukes det privat utstyr. Lastes personopplysninger ned på disse, kan det være et brudd på bestemmelsene i GDPR, og da kan virksomheten risikere gigantiske bøter for bruddet, sier Malmedal.
Les: Bli med på dugnaden Nasjonal sikkerhetsmåned og gjør Norge tryggere
En av tre får lov til å bruke privat datautstyr på jobb
Ifølge den omfattende NorSIS-rapporten The Norwegian Cyber Security Culture er det langt vanligere enn mange tror å ta med seg private enheter på jobb. Ifølge en spørreundersøkelse blant mer enn 8000 nordmenn, hadde hver tredje spurt om lov til dette. Bare 45 prosent oppga at deres arbeidsplass hadde forbud mot å bruke privat datautstyr på jobb.
– Spesielt med de nye personvernreglene er det et skremmende høyt antall virksomheter som tillater dette, sier den erfarne cybersikkerhetseksperten.
Les også: Bestill din opplæringspakke her
Tilbyr gratis opplæring for mange virksomheter
I samarbeid med blant andre Nasjonal sikkerhetsmyndighet arrangerer NorSIS til høsten Nasjonal sikkerhetsmåned. Her vil blant annet alle norske virksomheter få tilbud om et digitalt opplæringsprogram. Opplæringspakken er gratis for alle virksomheter med færre enn 20 ansatte.
Ubetenksomhet en av våre største digitale trusler
Malmedal, som har jobbet mye med nordmenns digitale sikkerhetskultur, tror det vil gjøre mye for IKT-sikkerheten i en virksomhet å gjennomføre en slik opplæring.
– Vi ser vanvare hos den enkelte ansatte, altså ubetenksomhet som følge av lav bevissthet eller manglende kunnskap, som en av våre største digitale trusler. Med mer kompetanse vil denne trusselfaktoren bli mindre. Å bruke noen timer på et slikt kurs er en kjempeinvestering både for en arbeidsgiver og den enkelte ansatte, sier Malmedal.
Kan raskt medføre GDPR-brudd
Malmedal frykter at arbeidstakere jobber på virksomhetens fellesområder og laster ned dokumenter på mobil, PC eller til lagringstjenester i skyen.
– Ifølge GDPR er det krav til en såkalt databehandleravtale når personopplysninger lagres hos eksterne. Denne foreligger ikke når en ansatt gjør en slik nedlasting av dokumenter som inneholder personopplysninger. Det kan også skje ved at dokumentet automatisk sikkerhetskopieres til for eksempel den ansattes skytjeneste. Slike feil kan koste en virksomhet svært dyrt, sier Malmedal.