Doble vegger i Statoils brannmur

Erfaringene fra e-post-saken i Statoil bekrefter at bedriften har reist minst én effektiv brannmur innen IT-sikkerhet og personvern. Det er den som opprettholder et strengt skille mellom formaningene i personregisterloven og hvordan de ansatte faktisk behandles.

Snoping i andres elektroniske postkasser er en uting, uansett om postkassen har den reglementerte passordbeskyttelsen eller ikke. Fra et prinsipielt standpunkt kan det ikke uttrykkes annet enn avsky overfor det fire ansatte i Statoil gjorde i fjor sommer, da de oppdaget at sjefens e-postkasse var åpen for alle, og fristet med følsom informasjon.

Nå kan det innvendes at prinsipper er det man står på, når man ikke vet bedre. Og det er sant at jeg ikke vet noe om detaljene i saken. Jeg vet nærmest ingenting om motiv eller framgangsmåte. Jeg vet ikke om informasjonen lot seg bruke til noe, eller om overgrepet fikk andre følger enn at de fire ble refset.

På den andre siden kan det vanskelig argumenteres mot at dette skulle være en prinsipiell sak. Det er også vanskelig å avvise Statoils prinsipielle standpunkt - at de som har forgrepet seg på andres post fortjener refs. Men det er viktig å fastholde at prinsipper forplikter. Er man prinsipiell i en side av en sak, må man også holde seg til prinsippene i sakens øvrige sider. Har man som prinsipp at personvern er verneverdig, må det også gjelde forholdet til personer som ikke deler den oppfatningen. Man kan ikke forbryte seg mot personvernet, i selve personvernets navn.

Det høres svært enkelt ut - i prinsippet.

Men i praksis er det ikke så enkelt. En IT-person i Statoil oppdaget ugjerningen og la bevismaterialet - utskrift fra e-post-systemets aktivitetslogg som viser hvem som har lest hva og hvor - fram for sine overordnede. Om denne handlingen vet vi mer enn om selve ugjerningen. Vi kjenner motivet - å bevise at noe utillatelig har skjedd, i den hensikt å identifisere de skyldige og få dem straffet. Vi kjenner framgangsmåten - man hentet informasjon fra aktivitetsloggen, et etter loven konsesjonspliktig personregister. Vi vet at handlingen fikk følger - de fire skyldige ble identifisert og refset.

Det er min erfaring at med mye kunnskap og innlevelse i en spesiell sak, er det ofte vanskelig å erkjenne det prinsipielle. Inntrykket mitt er at Statoil ikke en gang prøvde. Selskapet så suverent bort fra prinsippet. Prinsippet er svært enkelt: IT-personalet kan lese av loggen at noe utillatelig er skjedd. Men det er forbudt å bruke dette materialet til å oppspore de skyldige.

Det kan ikke oppfattes annet enn at personvernhensynet hos Statoil praktiseres etter to ulike målestokker. Hensynet til sjefen hvis person ble krenket når e-posten ble lest av uvedkommende, strakk seg ikke til de uvedkommende som krenket sjefen. Det gjelder ikke for Tor det som gjelder for Loke.

Statoil holder fast ved sin prinsippløshet. Det måtte en utredning fra Datatilsynet for å få fram en indirekte innrømmelse. Oppmerksomhet fra pressen har hittil bare presset fram en muntlig erkjennelse av at selskapet har brutt personregisterloven. Advarselen til de fire e-post-leserne er trukket tilbake, men omplasseringen er opprettholdt. På den andre siden skal det ikke vurderes forføyninger mot de som har begått lovbruddet. Selskapets oppfatning av alvoret i den opprinnelige forseelsen dempes ellers av uttalelsen om at e-post-lesingen ikke kvalifiserte til politianmeldelse.

Statoils IT-organisasjon har høy status. Selskapet er blant de ledende og mest erfarne IT-anvenderne i norsk næringsliv. Selskapets satsning på hjemme-PC-er til de ansatte ble belønnet med prisen Den Gylne Alfa for 1997. Løsningen som ble valgt for dataarbeidsredskap internt i organisasjonen - der enhver av selskapets 18.000 medarbeidere kan sette seg ved en hvilken som helst klient-maskin hvor som helst i Statoils nettverk og få opp sin personlige arbeidsflate - ble nominert til årets Rosing-pris i kategorien anvendelse. Denne løsningen tvinger alle ansatte til å oppbevare alt de har av filer og dokumenter på tjenere kontrollert av det samme IT-personalet som tok del i bruddet på personregisterloven i forbindelse med e-post-saken.

E-post-saken i Statoil avdekker et alvorlig problem. IT-satsningen har vært av teknologisk karakter, og har vært ensidig motivert av næringshensyn. Statoils ledelse har ikke forstått det prinsipielle grunnlaget for personvernet. Følgen er en praksis preget av dobbeltmoral. Det er på tide at generalforsamlingen uttaler seg om sakens alvor.

Utfordringen går til vår nye fungerende olje- og energiminister - Anne Enger Lahnstein.

Til toppen