Gå til innhold

Lov&Data

1/2022: Artikler
20/09/2022

Hjemmekontor og personvern

Av Ove A. Vanebo, assosiert partner i CMS Kluge

1. Innledning

Covid-19-nedstengingen skapte enorm vekst i bruk av hjemmekontor. I tillegg til de mer praktiske problemene, har også spørsmål om personvern dukket opp. Hvilke rammer gjelder for bruk av hjemmekontor? Hva kan vi sende av informasjon ut til hjemmekontorene? Hvordan skal informasjon sikres mot ulike trusler? En sikkerhetsekspert spissformulerte den plutselig oppståtte situasjonen slik:(1)Marc Lueck, GDPR in the new remote-working normal. I: Computer Fraud & Security, 2020 nr. 8, s. 15.

«Questions that a business may not have considered suddenly become of the utmost importance. What does the workplace look like when working from home? Is there a physical office available, or a cupboard or closet that can be locked in order to guarantee privacy of data and devices? Are there children in the household, and if so, is the device or devices the employee uses for work used for other purposes? It’s all too tempting to allow the family to use a work laptop, or to use it for casual private browsing. Conversely, security risks can also be introduced in the opposite way – if private devices that might not be equipped with security tools are used for work purposes.»

Personopplysingsloven gjør EUs personvernforordning (GDPR) til norsk rett, og regulerer som kjent behandling av personopplysninger. Verken loven eller GDPR har naturligvis noe eget «hjemmekontorkapittel», og virksomheter må dermed forholde seg til de generelle reglene for personopplysningsbruk.

I utgangspunktet er det ingenting i veien for å benytte hjemmekontor, men det krever en kartlegging av risiko og bruk av egnede tiltak for å håndtere de særegne problemene som melder seg når en skal jobbe utenfor kontoret. Det islandske datatilsynet, Persónuvernd, har oppsummert situasjonen her:(2)Persónuvernd, COVID-19 og persónuvernd, 2020. Lest 16. november 2021: https://www.personuvernd.is/personuvernd/frettir/covid-19-og-personuvernd#

«Beslutningen om å sette ansatte til å jobbe hjemmefra er ikke i seg selv et personvernproblem. Beslutningen om hvorvidt det er riktig å gi ansatte muligheten til fjernarbeid, dvs. med tilgang til systemer som inneholder personopplysninger utenfor arbeidsplassens intranett, må generelt være basert på en risikovurdering, som tar hensyn til arten av informasjonen som ansatte jobber med. Jo mer sensitiv eller omfattende informasjonen er, desto strengere krav må stilles for å ivareta sikkerheten til interne nettverk i tilknytning til de aktuelle aktivitetene

Det er altså særlig informasjonssikkerheten som er kritisk å ivareta. I punkt 2 vil jeg derfor redegjøre for de særlige forholdene som bør tas i betraktning ved bruk av hjemmekontor.

I og med at det er de generelle reglene for informasjonssikkerhet kravene springer ut fra, må vurderingen være om arbeidsgiver har gjennomført «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen».(3)GDPR art. 32 nr. 1. I punkt 3 kommer jeg inn på aktuelle tiltak.

2. Kartlegging og risikovurdering

2.1 Innledning

Risikovurdering innebærer kartlegging og vurdering av trusler mot virksomheten, samt vurdering av konsekvensene truslene kan få.(4)Bruvoll, J. A., Brattekås, K. & Nystuen, K. O. (2020). Kapittel 9 Funksjonsbasert risikovurdering. I H. Bergsjø, R. Windvik & L. Øverlier (Red.), Digital sikkerhet. En innføring, s. 187. Selv om de ansatte i varierende grad bruker hjemmekontor, må det tas hensyn til at de fleste vil bruke det i noe omfang. I lys av GDPR er det viktig å huske at forordningen dreier seg om å håndtere trusler mot personers rettigheter og friheter, slik at man ikke foretar kun en risikovurdering som fokuserer på infrastruktur eller bedriftens «upersonlige» informasjonsverdier (som er mer vanlig i tradisjonell IT-sikkerhet).

Enkelte teoretikere har argumentert for at det bør gjennomføres en mer omfattende vurdering av personvernkonsekvenser, i samsvar med GDPR artikkel 35.(5)Lueck, 2020, s. 15. Dette kan være fornuftig, særlig hvis det er tale om høyrisikoaktivitet med sensitivt materiale, men vanligvis vil det være tilstrekkelig med en mer alminnelig risikovurdering.

2.2 Generelt om risikobildet

Normalt skal virksomheter ha utført mer generelle risikovurderinger, og det er derfor klokt å fokusere på særskilte risikoer ved hjemmekontor. Nasjonal Sikkerhetsmyndighet melder om «nye sårbarheter som følge av hjemmekontor og endrede arbeidsmønstre, økt risiko for uønskede strategiske investeringer og omfattende global påvirkning og desinformasjon».(6)Nasjonal Sikkerhetsmyndighet. (2021). Risiko 2021 - helhetlig sikring mot sammensatte trusler. Lest 16. november 2021: https://nsm.no/getfile.php/136165-1612871437/Demo/Dokumenter/Rapporter/Risiko%202021%20hand-out.pdf Kritiske samfunnsfunksjoner og helsesektoren er særlig utsatt. Antallet trusselaktører øker, ved at også politisk og statlig motiverte aktører har interesse av kunnskap og sabotasje.

For hjemmekontorvurderingen er det naturlig å se særlig på:

  • Virksomhetens og de ansattes lokalisering på hjemmekontor

  • Kriminalitetsbilde i områdene

  • Antallet ansatte med hjemmekontor

  • Vekst og utvikling, med stadig flere ansatte de siste årene, som kan medføre at organisasjonen ikke har rukket å få på plass en helhetlig praktisering og sikkerhetskultur

  • Hva slags utstyr de ansatte bruker og om det kan medføre særlig risiko

2.3 Verdivurdering

Verdier betegner vanligvis det som er «en del av og til nytte for virksomheten».(7)Bergsjø, H. & Windvik, R. (2018). Datasikkerhet for ledere - hvordan beskytte din virksomhet, s. 55. Her er det særlig personopplysninger som skal vurderes for å unngå at tap får kritiske konsekvenser for de registrertes rettigheter. Som Datatilsynet påpeker om denne vurderingen:(8)Datatilsynet, Risikovurdering av informasjonssystem, s. 9.

«Verdier identifiseres ved å anslå taps- eller skadepotensial – i form av kostnad for gjenanskaffelse, indirekte kostnader som tap av ‘goodwill’, osv. I personvernsammenheng vil verdiene kunne representeres ved å anslå tap/skadepotensial for enkeltmenneskers liv, helse, økonomisk tap, tap av anseelse eller integritet. Kartlegging av verdier resulterer i oversikt hvor antatt sikkerhetsbehov knyttes til den enkelte verdi.»

Både datasystemer (sentralt i virksomheten og hjemme hos de enkelte ansatte) og informasjon er svært viktig å ivareta. Informasjon på avveie eller datasystemer som ikke fungerer optimalt kan føre til salgsnedgang, søksmål fra kunder, produksjons- og kundetap og tap av forretningshemmeligheter – i tillegg til de rene personvernproblemene. Det tilsier høye krav til informasjonssikkerhet.

Hendelse

Sikkerhets­prinsippp

Konsekvens

Sannsynlighet

Risiko

Vurdering

1. Informasjon lekker fra videokonferanse, f.eks. ved at nabo eller personer i hjem fanger opp informasjon.

K

Informasjon om patenter, strategier og kunderelasjoner kan tilfalle uvedkommende. Tillitstap samt økonomisk tap. Informasjon om privatpersoner kan komme på avveie. Score: 4.

De fleste har trygge, lydsikre rom. Sjelden fiendtlige aktører får informasjon. Score: 2.

Middels

Akseptabel

2.4 Akseptkriterier

Risikonivået ledelsen kan akseptere, betegnes som «akseptkriterier». Risikobildet og verdiene tilsier ofte en streng tilnærming til informasjonssikkerhet og lav risikoappetitt. Dette vurderes opp mot prinsippene for informasjonssikkerhet, som beskrives under:(9)Bergsjø & Windvik, 2018, s. 25-26.

  • Konfidensialitet (informasjon skal ikke tilflyte uvedkommende på uautorisert vis)

  • Integritet (informasjon skal være nøyaktig og skal ikke kunne endres uten tillatelse)

  • Tilgjengelighet (tjenester skal være stabile slik at informasjon er tilgjengelig ved behov)

I forbindelse med beslutningen om akseptkriterier, er det vanlig å konkretisere disse. Eksempelvis kan et kriterium være at det aksepteres manglende tilgjengelighet i maksimalt to timer.

2.5 Den konkrete risikovurderingen

Risiko uttrykker vanligvis trusler som en kombinasjon av sannsynlighet og konsekvens. En vanlig risikovurderingsmodell er å vurdere hendelser opp mot hvilke sikkerhetsprinsipper som utfordres (og som forkortes ved bruk av forbokstav), dvs. konfidensialitet (K), integritet (I) og tilgjengelighet (T). Sannsynlighet og konsekvens kan f.eks. kvantifiseres fra 1 til 5, der 1 er liten/lav og 5 er stor/alvorlig, som i matrisen under synliggjør om risiko er akseptabel.(10)Gjort i bl.a. Bergsjø & Windvik, 2018, s. 79. Dette kan litt forenklet se slik ut:

For å gjøre den oppsummerende fremstillingen pedagogisk, kan det være fornuftig å sette den opp som en risikomatrise, som kan sette hendelsesnumre inn et «trafikklyssystem». Grønt kan visualisere akseptabelt nivå, mens gult nivå er akseptabelt – men bør møtes med tiltak. Rødt viser en uakseptabel risiko, som skal avbøtes med tiltak. Dette kan visualiseres på denne måten:(11)Inspirert av Bergsjø & Windvik, 2018, s. 76.

2.6 Oppfølging av risikovurderingen

I kjølvannet av risikovurderingen er det naturlig å følge opp med ulike tiltak, og jeg vil under i punkt 3 nevne noen konkrete tiltak som er aktuelle – og som er foreslått av ulike offentlige organer og europeiske tilsyn. Hvilke tiltak som til syvende og sist bør benyttes, må bero på trusselbildet.

Ofte må tiltakene fremlegges for ledergrupper eller bestemte beslutningstakere. Ut fra rent praktiske hensyn bør tiltakene også «kvantifiseres», ved at det tydeliggjøres hva det vil koste å få på plass tilstrekkelige tiltak.

3. Aktuelle tiltak for informasjonssikkerhet tilknyttet hjemmekontor

3.1 Bruk av intranett og skytjenester mv. gjennom fjerntilgang

Danmarks datatilsyn nevner disse tiltakene:(12)Datatilsynet, Gode råd om hjemmearbejde, 16. mars 2020. Lest 25. oktober 2021: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/gode-raad-om-hjemmearbejde

  • Virksomheten må sørge for å etablere og informere de ansatte om klare retningslinjer for hjemmearbeid – og sørge for at ansatte følger dem.

  • Bruk den klart sikre tilgangen til interne systemer (VPN eller andre sikre tjenester/former for direktetilkobling).

  • Så langt det er mulig, bør det vanlige (sentrale) saksbehandlingssystemet benyttes. Videre anbefales at dette systemet bør ha både tilgangskontroll, løsning som muliggjør utforming og synliggjøring av ulike dokumentversjoner, back-up og øvrige generelle sikkerhetstiltak.

Det islandske datatilsynet har understreket at en ansatt som jobber eksternt, må sørge for at han eller hun bare jobber på intranettet i forbindelse med den aktuelle aktiviteten. I tillegg bør vedkommende sørge for å følge alle organisatoriske tiltak knyttet til den enkelte tjenesten.(13)Persónuvernd, COVID-19 og persónuvernd; Öryggi persónuupplýsinga í fjarvinnu. Lest 25. oktober 2021.

3.2 Oppbevaring og bruk av bærbart utstyr mv.

Det er fort gjort at ulike former for utstyr kommer på avveie, og at USB-brikker eller nettbrettet legges igjen på kafé. I tillegg kan det også skje at naboer eller familiemedlemmer får innsyn på utstyr – noe som potensielt sett kan være i strid med taushetsplikt. Bruk av bærbart utstyr utenfor etablerte, sikre kontornettverk kan også i større grad blir utsatt for ulike forsøk på urettmessig uthenting av informasjon. Jeg vil også komme noe inn på det sistnevnte i punkt 3.4. Hva gjelder behandling/oppbevaring av ulike former for bærbart utstyr, nevner det irske datatilsynet følgende:(14)Data Protection Commision, Protecting Personal Data When Working Remotely, 2020.

  • Pass ekstra på at enheter (for eksempel USB-er, telefoner, bærbare datamaskiner eller nettbrett) ikke mistes eller blir lagt på et sted de kan bli borttatt.

  • Sørg for at alle enheter har de nødvendige oppdateringene, for eksempel operativsystemoppdateringer (som iOS eller Android) og programvare-/antivirusoppdateringer.

  • Lås enheten hvis du av en eller annen grunn må la utstyret stå uten tilsyn.

  • Sørg for at enhetene dine er slått av, låst eller lagret på betryggende vis når de ikke er i bruk.

  • Sørg for at datamaskinen, bærbar PC eller annen enhet brukes på et trygt sted, for eksempel der du kan holde øye med den og begrense hvem andre som kan se skjermen. Dette er særlig viktig hvis du arbeider med særlige kategorier av (eller andre typer sensitive) personopplysninger.

  • Bruk effektive tilgangskontroller (som multifaktorautentisering og sterke passord) og (hvis det er tilgjengelig) kryptering for å begrense tilgangen til enheten. Dette vil også redusere risikoen hvis en enhet blir stjålet eller forlagt. Hvis en enhet mistes eller blir stjålet, bør du umiddelbart prøve å fjernslette harddisken.

SANNSYNLIGHET

5

4

3

2

1

1

2

3

4

5

KONSEKVENS

3.3 E-post og intern kommunikasjon

Det islandske datatilsynet har anbefalt følgende tiltak for tilstrekkelig sikker e-post-kommunikasjon:(15)Persónuvernd, COVID-19 og persónuvernd, 2020.

  • Følg arbeidsgivers retningslinjer for arbeidsplassen når du bruker e-post.

  • Bruk jobb-e-post (og ikke privat e-post) for jobbkommunikasjon når du sender personopplysninger.

    • Hvis du må bruke privat e-post for å sende viktig informasjon, bør du kryptere dokumenter (som inneholder personopplysninger) med et sterkt passord.

  • Sørg for at du sender til riktig mottaker og at riktig fil er vedlagt. Det kan være nødvendig å åpne vedlegget i eposten for å være sikker på at riktig vedlegg følger med.

  • Unngå å kommunisere på sosiale medier med kolleger om sensitive saker. Her må du følge prosedyrene på arbeidsplassen i alle sammenhenger.

3.4 Lokal lagring

Generelt anbefales det å lagre informasjon i sentrale systemer. Hvis det er et behov for å lagre dokumenter eller andre filer lokalt, på selve datamaskinen, har det danske Datatilsynet følgende anbefalinger:(16)Datatilsynet, Gode råd om hjemmearbejde, 16. mars 2020. Lest 25. oktober 2021: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/gode-raad-om-hjemmearbejde

  • Enheten eller filen med dokumentet bør være kryptert.

  • Ingen andre (heller ikke egne barn) bør ha tilgang til enheten.

  • Arbeidstaker må ha kontroll over gjeldende versjon av filen, slik at data ikke går tapt eller er ukorrekte.

  • Filen skal lastes opp til saksbehandlingssystemet eller andre sentrale løsninger så snart som mulig

    • Den lokale kopien bør deretter slettes umiddelbart.

3.5 Bruk av videokonferanseverktøy

Formidling av bildemateriale og lyd vil naturligvis kunne innebære behandling av personopplysninger. For mange kom det likevel som en overraskelse at også videokonferanseverktøy (f.eks. Zoom, Teams og Skype) må oppfylle grunnleggende krav til informasjonssikkerhet. Undersøkelser viser også at konferanseverktøyene har hatt klare svakheter.(17)Se f.eks. Bill Marczak og John Scott-Railton, Move Fast and Roll Your Own Crypto; A Quick Look at the Confidentiality of Zoom Meetings, 2020. Lest 21. februar 2022: https://tspace.library.utoronto.ca/bitstream/1807/104313/1/Report%23126--zoom.pdf

Noen praktiske råd fra det irske datatilsynet er:(18)Data Protection Commission, Data Protection Tips for Video-conferencing, 2020. Lest 21. februar 2022: https://www.dataprotection.ie/en/dpc-guidance/blogs/data-protection-tips-video-conferencing

  • Sørg for at konferanseverktøyet har de nødvendige programvare-/antivirusoppdateringer.

  • Les gjennom tjenestens personvern- eller informasjonssikkerhetspolicy for å vite hvem personopplysninger blir delt med, hvor de vil bli lagret og hvilke formål de vil bli brukt til.

  • Tenk gjennom hvilke tillatelser du gir og hvilke personopplysninger som behandles. Trenger du f.eks. å dele lokasjonen/posisjonen din eller listen over kontakter?

  • Pass på hva som kan sees under videokonferansen, f.eks. hva som kan observeres via kameraet ditt. Sørg for å logge ut, dempe lyd eller slå av videooverføring ved behov, bl.a. når du tar en pause.

3.6 Papirdokumenter

Potensielt sett kan også bruk av papirdokumenter med personopplysninger være underlagt personopplysningslovens regulering. Dette er typisk dersom de inngår i et register, og dermed er omfattet av personopplysningsloven, se personopplysningsloven § 2 første ledd og GDPR art. 2 nr. 1.

Det kan også tenkes at papirdokumenter utgjør en informasjonsbærer mellom to systemer, og at behandlingen derfor er «delvis automatisert» – og dermed er omfattet av GDPR.(19)GDPR art. 2 nr. 1. Det er også tenkelig at dokumenter på avveie kan utgjøre et brudd på personopplysningssikkerheten.(20)GDPR art. 33 nr. 1, jf. art. 4 nr. 12.

Det irske Datatilsynet har nevnt disse punktene vedrørende behandling av papirdokumenter:(21)Data Protection Commision, Protecting Personal Data When Working Remotely, 2020.

  • Hvis man arbeider utenfor kontoret med papirbasert informasjonsbehandlingen, må arbeidstaker ivareta sikkerheten og konfidensialiteten til dokumentene, bl.a. ved å oppbevare dem låst i arkivskap eller skuff når de ikke er i bruk. Dokumentene bør også kasseres på en sikker måte (f.eks. makulering) når de ikke lenger er nødvendige, og sørge for at de ikke blir liggende et sted hvor de kan bli forlagt eller stjålet.

  • Hvis du har å gjøre med dokumenter som inneholder spesielle kategorier av personopplysninger (f.eks. helsedata), bør du være ekstra forsiktig for å ivareta sikkerhet og konfidensialitet. Slike dokumenter bør bare tas ut fra et sikkert sted når det er strengt nødvendig å utføre arbeidet.

  • Der det er mulig (og hensiktsmessig) bør arbeidstaker føre en skriftlig oversikt over hvilke dokumenter og filer som er tatt med hjem, for å opprettholde konfidensialitet og kontroll/styring.

3.7 Arbeid med å forbedre digital sikkerhetskultur

Digital sikkerhetskultur betegner verdier, holdninger, antakelser, normer og kunnskaper som ansatte har når de forholder seg til digitale verdier.(22)Malmedal, B. (2020). Kapittel 2 Sikkerhetskultur. I H. Bergsjø, R. Windvik & L. Øverlier (Red.), Digital sikkerhet: En innføring, s. 36. Poenget er å påvirke handlingsmønstre og grunnleggende antakelser om hvordan man skal forhold seg til nevnte verdier. Dette kan være et organisatorisk tiltak i henhold til GDPR.

Videreutviklingen av en digital sikkerhetskultur kan beskrives slik:(23)Digitaliseringsdirektoratet, Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet. Lest 16. november 2021: https://www.digdir.no/informasjonssikkerhet/bakgrunnsinformasjon-kompetanse-og-kulturutvikling-innen-digital-sikkerhet/2177

  • Hva? – Virksomheten må få kunnskap om hva som skal gjøres. Dette forutsetter at det er oversikt over hva den ansatte kan, og hva som eventuelt mangler.

  • Hvorfor? – Bevisstgjøring for å forstå informasjonssikkerhet og hvordan man skal handle. Dette knyttes opp mot den senere prosessen med å få ansatte til å tenke over ulike situasjoner og gis et opplæringstilbud.

  • Hvordan? – Ansatte må få kunnskap om hva som praktisk skal gjøres for å oppnå tilfredsstillende målsettinger. Planen skal derfor også omfatte styrking av de ansattes digitale kompetanse. Hva som konkret må gjøres vil bli synliggjort gjennom oversikt over ansattkompetanse og bevisstgjøringsprosessen.

Til sammen skal disse aspektene bidra til å «bygge» holdninger, slik at bevissthet og forståelse av risikobildet følges opp med handling.

Et eksempel på tiltak er nettundervisning om hvordan hjemmekontorer kan brukes effektivt og trygt. Det bør også legges opp til mottak av spørsmål fra ansatte om hvordan de opplever situasjonen og hva de kan dele av nyttige tips. Noen eksempler på tiltak er:

  • Grunnleggende kurs om informasjonssikkerhet

  • Kurs om mulige trusler ved bruk av hjemmekontor, herunder oppfølging av avvik

  • Kurs om hvordan informasjon skal innhentes, lagres og formidles til andre. I dette kurset bør arbeidsgiver også informere om ulike hjelpemidler for å oppnå tilstrekkelig informasjonssikkerhet, som VPN-løsninger og kryptering ved oversending av eposter.

Hvis de ansatte har noe varierende dager og mye tidspress, kan kursene også legges ut på intranettet i videoopptak. Det bør legges inn mekanismer som registrerer når en ansatt har deltatt eller sett alle videoene, og oppfølging for å sikre at alle får med seg informasjon og rutiner.

Arbeid med og endring av digital sikkerhetskultur er et ledelsesansvar. Både ledelsen og resten av organisasjonen må være samordnet underveis i prosessen. Innretning av planen bør også ta hensyn til at ledelsen må ha legitimitet blant ansatte når de pålegges hjemmekontor og nye rutiner.

3.8 Avvikshåndtering

Ulike former for avvik kan naturligvis oppstå. Det kan være hensiktsmessig å få på plass ulike former for monitorering for å fange opp abnormiteter.(24)Agencia Española de Protección de Datos, Recommendations to protect personal data in situations of mobility and telecommuting, 2020, s. 3. I tillegg bør naturligvis ansatte gjøres oppmerksom på at de må varsle avvik. Arbeidsgiver vil i henhold til GDPR artiklene 33 og 34 har en plikt til å underrette henholdsvis Datatilsynet og registrerte personer.

Noter

  1. Marc Lueck, GDPR in the new remote-working normal. I: Computer Fraud & Security, 2020 nr. 8, s. 15.
  2. Persónuvernd, COVID-19 og persónuvernd, 2020. Lest 16. november 2021: https://www.personuvernd.is/personuvernd/frettir/covid-19-og-personuvernd#
  3. GDPR art. 32 nr. 1.
  4. Bruvoll, J. A., Brattekås, K. & Nystuen, K. O. (2020). Kapittel 9 Funksjonsbasert risikovurdering. I H. Bergsjø, R. Windvik & L. Øverlier (Red.), Digital sikkerhet. En innføring, s. 187.
  5. Lueck, 2020, s. 15.
  6. Nasjonal Sikkerhetsmyndighet. (2021). Risiko 2021 - helhetlig sikring mot sammensatte trusler. Lest 16. november 2021: https://nsm.no/getfile.php/136165-1612871437/Demo/Dokumenter/Rapporter/Risiko%202021%20hand-out.pdf
  7. Bergsjø, H. & Windvik, R. (2018). Datasikkerhet for ledere - hvordan beskytte din virksomhet, s. 55.
  8. Datatilsynet, Risikovurdering av informasjonssystem, s. 9.
  9. Bergsjø & Windvik, 2018, s. 25-26.
  10. Gjort i bl.a. Bergsjø & Windvik, 2018, s. 79.
  11. Inspirert av Bergsjø & Windvik, 2018, s. 76.
  12. Datatilsynet, Gode råd om hjemmearbejde, 16. mars 2020. Lest 25. oktober 2021: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/gode-raad-om-hjemmearbejde
  13. Persónuvernd, COVID-19 og persónuvernd; Öryggi persónuupplýsinga í fjarvinnu. Lest 25. oktober 2021.
  14. Data Protection Commision, Protecting Personal Data When Working Remotely, 2020.
  15. Persónuvernd, COVID-19 og persónuvernd, 2020.
  16. Datatilsynet, Gode råd om hjemmearbejde, 16. mars 2020. Lest 25. oktober 2021: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/gode-raad-om-hjemmearbejde
  17. Se f.eks. Bill Marczak og John Scott-Railton, Move Fast and Roll Your Own Crypto; A Quick Look at the Confidentiality of Zoom Meetings, 2020. Lest 21. februar 2022: https://tspace.library.utoronto.ca/bitstream/1807/104313/1/Report%23126--zoom.pdf
  18. Data Protection Commission, Data Protection Tips for Video-conferencing, 2020. Lest 21. februar 2022: https://www.dataprotection.ie/en/dpc-guidance/blogs/data-protection-tips-video-conferencing
  19. GDPR art. 2 nr. 1.
  20. GDPR art. 33 nr. 1, jf. art. 4 nr. 12.
  21. Data Protection Commision, Protecting Personal Data When Working Remotely, 2020.
  22. Malmedal, B. (2020). Kapittel 2 Sikkerhetskultur. I H. Bergsjø, R. Windvik & L. Øverlier (Red.), Digital sikkerhet: En innføring, s. 36.
  23. Digitaliseringsdirektoratet, Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet. Lest 16. november 2021: https://www.digdir.no/informasjonssikkerhet/bakgrunnsinformasjon-kompetanse-og-kulturutvikling-innen-digital-sikkerhet/2177
  24. Agencia Española de Protección de Datos, Recommendations to protect personal data in situations of mobility and telecommuting, 2020, s. 3.
Ove A. Vanebo

Ove A. Vanebo