Så lett er det å overvåke de ansattes pc eller mobil

­På en arbeidsplass vil det derfor ofte være to antatt motstridende interesser: arbeidsgivernes ønske om og behov for kontrolltiltak – og arbeidstakernes personverninteresser og arbeidsmiljø.

Kontrolltiltak innføres ofte av driftsmessige årsaker. Likevel innebærer disse at det samles inn opplysninger om de ansatte, understreker tilsynet. Særlig registrering av aktiviteten på pc og mobiltelefon kan være omfattende og inngripende. Ikke minst fordi verktøyene også brukes til kontakt med familie og venner og andre private aktiviteter.

• Les også: Store kunnskapshull om digital overvåking

Datatilsynet mener at mange arbeidstakere opplever at det er en utfordring å ha oversikt over hvilke metoder som kan brukes for å registrere deres digitale aktiviteter.

Mulig – men ikke lov?

I rapporten «Sjefen ser deg?» har de laget en liste over de meste gjengse overvåkingsverktøy for pc og mobil. Enkelte vil gi innsikt i opplysninger som de automatisk registrerer om de ansatte, mens andre tiltak krever at ledelsen gjør aktive valg for å samle inn ytterligere opplysninger om de ansatte.

Datatilsynet understreker at listen ikke er uttømmende, og at den bare beskriver hva som er teknisk mulig, ikke hva som er lov. Her er listen:

• Innsyn i e-post: Innsyn i e-post er strengt regulert i lov, og Datatilsynet har laget utfyllende veiledning om innsyn i e-post og annet elektronisk lagret materiale. Det er likevel teknisk mulig for arbeidsgiveren å logge seg inn på en arbeidstakers e-post for å se på aktiviteten. Vi ser også at automatisk videresending av e-post ofte benyttes, slik at arbeidsgiveren fortløpende får arbeidstakerens e-post til en postkasse arbeidsgiveren selv har tilgang til.
• GPS-sporing: Flere selskaper tilbyr programvare for GPS-sporing av arbeidstakerens mobiltelefoner, noen ganger i kombinasjon med programvare som er installert på PC-en. Slike verktøy lar arbeidsgiveren se hvor de ansatte befinner seg, tidligere ruter arbeidstakerne har beveget seg i, tidsstempler som viser hvor de var på et gitt tidspunkt, og hvor lenge de har oppholdt seg der.
• Installere Mobile Device Management (MDM): Dette er programvare som installeres på arbeidstakernes jobbtelefon, og som gir arbeidsgiveren tilgang til telefonen. «Bruk av MDM kan innebære at virksomheten i praksis får fullstendig kontroll over innholdet på mobiltelefonen», påpeker Datatilsynet.
• Kontrollere tilstedeværelse: I mange samhandlingssystemer er det funksjoner som viser om en ansatt er pålogget eller ikke. For eksempel kan dette være en del av et chatteprogram, der arbeidstakerne markeres med et ikon (slik som et grønt lys) hvis de er pålogget.
• Kontrollere aktivitet på programmer og filer: Det er mulig å logge hvem som til enhver tid er inne på forskjellige programmer og filer. Dette kan gjøres ved hjelp av programvare som har denne funksjonaliteten, men informasjon kan også hentes fra systemenes aktivitetslogg. Ved bruk av enkelte programvarer kan arbeidsgiveren også kontrollere hva som gjøres i dokumenter og hvorvidt den ansatte deler filer med andre.
• Undersøke aktivitetslogg: Aktivitetslogger viser trafikkdata i de elektroniske systemene som arbeidstakeren bruker. Innsyn i disse loggene vil vanligvis være mulig for dem som administrerer systemet. Slike logger kan avsløre mye om arbeidstakerens digitale liv. For eksempel vil virksomheten ved å undersøke aktivitetsloggene på e-post, kunne ha tilgang til hvem som har sendt e-posten, mottaker, tidspunkt og emnefelt.
• Kontrollere nettaktivitet: Arbeidsgiveren kan logge hvilke nettsider arbeidstakerne besøker og når besøket fant sted. For å kontrollere nettsidehistorikk, vil det ofte være nødvendig å undersøke aktivitetsloggen eller bruke et program som gir denne innsikten.
• Bruk av webkamera: Arbeidstakerne kan også bli instruert om å skru på webkamera. I løpet av koronapandemien har Datatilsynets veiledningstjeneste mottatt flere spørsmål knyttet til arbeidsgivere som har krevd at ansatte skal ha på kamera i interne møter.
• Logge tastetrykk: Det er også mulig å registrere museklikk og hvilke taster som blir trykket. Logging av tastetrykk kan være en måte å registrere på hvorvidt en PC er i aktiv bruk. Tastetrykkene kan også registreres og lagres i den rekkefølgen de har blitt tastet inn, og slik si noe om innholdet i teksten.
• Ta skjermbilder: Noen programmer gjør at arbeidsgiveren kan ta skjermbilder eller skjermopptak av arbeidstakernes skjerm med jevne intervaller for å overvåke aktiviteten på skjermen. Mer avanserte varianter av denne teknologien lar også arbeidsgiveren trekke ut tekst fra nettsider, bilder eller filer som vises på skjermen.
• Lydopptak: Lydopptak er mest relevant innen salg og kundeservice. Imidlertid er lydopptak et inngripende tiltak som er underlagt strenge begrensninger etter personvernregelverket og arbeidsmiljøloven. Lydopptak av samtaler samler inn mye overskuddsinformasjon, blant annet om en persons stemme og sinnsstemning.

Tiltakene vil ofte være tilpasset systemene som brukes, opplyser Datatilsynet. For eksempel kan de innføres som en del av et journalsystem, saksbehandlingssystem eller prosjektstyringsverktøy som arbeidstakerne bruker.

Flere tiltak, som innarbeides i samme system, vil kunne innhente flere opplysninger om den ansatte. «Dette vil ha potensiale til å vise detaljert informasjon om arbeidstakernes atferd og aktiviteter», skriver tilsynet i rapporten.

Overvåking som tilleggsfunksjon

Dessuten finnes det en rekke populære prosjekt- og samhandlingsverktøy, for eksempel velkjente Teams og Zoom, som har en tilleggsfunksjon som kan brukes for å samle inn opplysninger om de ansattes digitale aktiviteter, døgnet rundt.

«Det betyr at arbeidsgiveren får tilgang til kontrolltiltak som en del av et verktøy som brukes til andre formål», skriver Datatilsynet videre i rapporten.

Og her er denne listen:

• Microsoft Teams: Teams har en funksjon for å følge med på de ansattes aktiviteter når de bruker programvaren. Dette inkluderer innsikt i uplanlagte møter, lengde på møter og info om chat – slik som hvor mange meldinger arbeidstakerne sender i gruppe-kanaler eller direkte til andre kollegaer i løpet av en spesifisert tidsperiode.
• Zoom: Zoom tilbød en funksjon hvor møtelederen fikk vite om noen av deltagerne klikket seg vekk fra konferansevinduet i mer enn 30 sekunder. Etter en klagestorm mot selskapet ble denne funksjonen fjernet.
• Google Workspace (tidligere kjent som G Suite): Denne programpakken har funksjoner som analyserer de ansattes bruk av samarbeidsverktøy og hvordan de lager og deler dokumenter. Den lar også arbeidsgiveren overvåke e-postaktivitet, for eksempel antall e-poster sendt over en bestemt tidsperiode.
• Microsoft 365: Funksjonen «Productivity Score» samler inn data om hvordan de ansatte bruker programmet, slik at arbeidsgiveren eller administratorer kan vurdere produktiviteten. Opprinnelig tillot Microsoft at man hentet inn opplysninger om enkeltansatte, men etter sterk kritikk annonserte de endringer som innebar at det kun skal være mulig å «høste» data på virksomhetsnivå, ikke individnivå.

Kilde: Rapporten «Sjefen ser deg?», Datatilsynet