— Hvis noen ansatte har mistanke om at noen er inne og leser epostene deres så må de melde fra til oss, sier <span class="caps">IT</span>-direktør Tommy Due-Løvaas, Høgskolen i Oslo og Akershus (HiOA). Foto: Skjalg Bøhmer Vold
— Hvis noen ansatte har mistanke om at noen er inne og leser epostene deres så må de melde fra til oss, sier IT-direktør Tommy Due-Løvaas, Høgskolen i Oslo og Akershus (HiOA). Foto: Skjalg Bøhmer Vold

Lagrer eks-ansattes epost for lenge

Høgskolen lagrer eks-tilsattes epost lenger enn loven anbefaler. — Vi har ikke gode nok rutiner, innrømmer IT-direktøren. Dårlige rutiner er ingen god grunn, mener Datatilsynet.

Publisert   Sist oppdatert

Det er blitt avdekket at flere høgskoler og universitet ulovlig lagrer personopplysninger og registrerer aktivitet og bevegelser til ansatte og studenter, ved bruk av adgangskortsystemet.

Også Høgskolen i Oslo og Akershus (HiOA) har brutt personopplysningsloven ved å unnlate å informere studenter og tilsatte om hva slags bevegelser og opplysninger som registreres om den enkelte - og hvor lenge de lagres. I prinsippet kan registreringene og logging av informasjonen brukes til overvåking av enkeltpersoner, selv om det også er et sikkerhetssystem, for å beskytte både ansatte, studenter og materielle verdier. Høgskolens IT-avdeling administrerer rundt 22.000 epostadresser.

Kunne hatt bedre rutiner 

I kjølvannet av debatten om adgangskontroll ønsket Khrono å finne ut om alt var på stell når det gjelder lagring og registrering av epost og ansatte og studenters epostområder.

Tommy Due-Løvaas, IT-direktør ved Høgskolen i Oslo og Akershus (HiOA) sier at det ikke er gode nok rutiner for sletting av epost når tilsatte - og studenter - slutter ved HiOA. 

— Når det gjelder sletting av epostkonti så kunne rutinene vært mye bedre. Vi er igang med å finne gode rutiner og samarbeid med HR-avdelingen på dette. Slik det er i dag får ikke IT-avdelingen spesifikke meldinger eller lister fra HR da dette er fullt ut automatisert, men fordi det er kan være feil i registreringen så må vi dobbeltsjekke for å finne ut hvem som har sluttet, og så slette epost-kontiene deres deretter, sier Due-Løvaas.

Han sier at det også er en IT- og epost-utfordring at mange kan ha permisjoner, så det kan være en risiko for at IT-avdelingen sletter epostkonti som ikke skal slettes. 

Problem med permisjoner

— Det er mange som har permisjon på høgskolen for eksempel, noen kan ha permisjon opptil tre år. Det er viktig at IT får beskjed om de som er i permisjon skal ha tilgang til eposten sin, for eksempel. Det har hendt at vi har slettet epostkonti som ikke skulle vært slettet fordi vi ikke har visst om permisjonen, sier IT-direktøren.

I enkelte tilfeller er det nok mer enn 6 måneder, ja.

Tommy Due-Løvaas
IT-direktør, HiOA

Arbeidsgiver bør ha en god grunn hvis de oversitter
6 måneder.

Henok Tesfazghi
Rådgiver i Datatilsynet

— For å sikre oss mot at vi sletter epostkonti som ikke skal slettes, tar vi heller kopi av den og lagrer den et annet sted, og så stenger vi kontoen og sletter sikkerhetskopien senere. Det er stor forskjell i konsekvensen av å stenge en konto og på å slette den, sier Due-Løvaas. 

Ifølge Due-Løvaas er det 2-3 personer i IT-avdelingen som har tilgang til å administrerer og slette epost. 

— Hvordan er det med sletting av studentenes epost?

— Når det gjelder studentenes epost sletter vi også dem seks måneder etter at de har sluttet ved høgskolen, sier han. 

Kan ta lenger tid enn seks måneder

— Hvor lang tid kan det gå fra en ansatt har sluttet og før epostkontoen hennes er slettet? Mer enn seks måneder? 

— Det er vanskelig å si, men i enkelte tilfeller er det nok mer enn seks måneder, ja, sier IT-direktøren. 

Ifølge Datatilsynet og forskriften knyttet personopplysningsloven skal ansattes epostkonto slettes «innen rimelig tid» etter at folk har sluttet i jobben.

Datatilsynet opplyser at i kommentarene til forskriften står det presisert at hva som er rimelig tid må vurderes konkret, men det må kunne forventes at arbeidsgiver har foretatt en vurdering i løpet av en seks måneders periode etter arbeidsforholdets opphør. Seks måneder bør ansees som rimelig tid i denne sammenhengen.

Dårlige rutiner er ikke god nok grunn

— Når høgskolen innrømmer at det i noen tilfeller brukes lenger tid, er dette ille?

— Det er mulig Datatilsynet i en sak vil kunne konkludere med at en virksomhet som har lagret eposter utover seks måneder har brutt personopplysningsforskriften § 9-4. Dette vil imidlertid basere seg på en konkret vurdering på hva som er rimelig. Arbeidsgiver bør ha en god grunn hvis de oversitter disse seks månedene, sier rådgiver Henok Tesfazghi i Datatilsynet. 

— Det kommer litt an på omstendighetene. Jeg ville gått tilbake og spurt hvorfor dette arbeidet eventuelt tar lengre tid enn det reglene tilsier, sier Tesfazghi, og legger til at dårlige rutiner ikke er en god nok grunn for oppbevaring av epost og dermed materialet beskyttet av personopplysningsloven.

— Omtrent 20 prosent av de henvendelser vår juridiske veiledningstjeneste får handler om arbeidslivspørsmål, og veldig ofte er det epost-problematikk involvert. Dette er altså et område som er viktig for folk, sier Tesfazghi, som oppfordrer alle til å følge de forsiktighetsregler Datatilsynet anbefaler for bruk av epost knyttet til arbeidsgiver.

Vet vi om noen har sett vår epost?

 — Hva kan høgskolens IT-avdeling se eller følge med på når det gjelder tilsattes epost og internettbruk?

— Hele oppsettet står jo her nede hos oss, så vi kan jo gå inn og se, men vi sitter ikke og overvåker dette, sier IT-direktør Tommy Due-Løvaas. 

— Men hvis noen av dere er inn og sjekker vår epost vil vi få beskjed om det, eller merke det?

— IT vil alltid si fra når vi er inne og sjekker. Det er vi pålagt å gjøre. Man vil nødvendigvis ikke merke det, men hvis noen ansatte har mistanke om at noen er inne og leser epostene deres så må de melde fra til oss, sier han.  

— Men hva om det er noen som jobber ved IT-avdelingen som har vært inne, kan du finne ut av det? 

— Jeg skjønner at folk kan være opptatt av dette. Det kan være ledere som ønsker å vite hva slags eposter deres ansatte sender, og til hvem, men vi har aldri fått noen henvendelser om det. Når det er sagt så er det slik at de som har administratortilgang kan se både eposter og hvem som sender epost til hvem, men vi har annet å gjøre enn å sitte og følge med på dette, sier han.

— Hvis jeg tror at noen har vært inne og snoket i min epost, kan du finne ut hvem det er? 

— Det vi må gjøre da er å se på aktiviteten på din konto, når du vanligvis er innlogget og om det er noen brudd på innloggingsrutiner. Vi kan se om noen har vært inne på tider da du ikke pleier å være innlogget og vi kan se hvilken epost som er åpnet, men vi kan ikke se hva vedkommende har lest, for eksempel, sier Tommy Due-Løvaas.

Et spørsmål om tillit

— Men alt dette handler om tillit. Det er som å gå til legen. Du gir legen mange personopplysninger som vedkommende lagrer i din journal, men du må stole på at han ikke gir den videre til noen. Det samme er det med administrasjon av epost-konti. Man må ha tillit til at IT-ansatte overholder sin taushetsplikt og ikke misbruker stillingen sin, sier Due-Løvaas og legger til:

— Hvis noen gjør det, så er det oppsigelsesgrunn, sier han, og legger til at IT-avdelingen har en driftslogg hvor de jevnlig går inn og sjekker, for å se at driftssystemet fungere som det skal. Andre grunner til innsyn i logg og eposter er kun ved politietterforskning av kriminelle handlinger, eller ved dødsfall, og hvis folk forsvinner eller lignende. Vi har hatt noen få henvendelser om dette, men da skal det alltid skje skriftlig, og skal gå via HR for ansatte eller Studieavdelingen når det gjelder studenter, sier han. 

— Vi har mye informasjon på hjemmesidene til HiOA når det gjelder informasjonssikkerhet og bruk av IT-systemene  - jeg oppfordrer alle til å lese det som står der og følge det, avslutter IT-direktøren.