Krigen i Ukraina har ifølge PST endret trusselbildet for norske virksomheter, både de som er underlagt sikkerhetsloven og de som ikke er det. Og vi vet at flere virksomheter i disse dager arbeider med hvordan de kan ivareta sikkerhet og personvern med det nye trusselbildet. Her er derfor våre fire beste råd til hvordan virksomheter som ikke er underlagt sikkerhetsloven, best kan ivareta både sikkerhet og ansattes rett til personvern.
1. Dropp oversikt over medarbeideres nasjonale tilknytning
Det kan være fristende å lage oversikter over ansatte med tilknytning til Russland eller Ukraina. Dette vil vi fraråde. Både personvern- og diskrimineringslovgivningen begrenser hvilke personopplysninger en arbeidsgiver kan hente inn og lagre om medarbeidere, og hva man som arbeidsgiver kan spørre om.
«Nasjonal tilhørighet og tilknytning» er mer enn bare statsborgerskap. Det omfatter både etnisk bakgrunn, tilknytning gjennom for eksempel en partner, utdanning, arbeidsforhold og økonomiske interesser. For etnisk bakgrunn er reglene spesielt strenge. En arbeidsgiver som skal behandle slike personopplysninger, må kunne vise til et særskilt behandlingsgrunnlag i GDPR. Vi kan ikke se at virksomheter som ikke er underlagt sikkerhetsloven, har et slikt særskilt behandlingsgrunnlag.
Stort skifte i IT-markedet: – Det er mer medvind. Vi ser i søkerbunkene at det skjer noe
2. Ta utgangspunkt i sårbare roller
Når den sikkerhetspolitiske situasjonen endrer seg og PST vurderer etterretningstrusselen fra Russland som økt, må sikkerhetstiltak vurderes på nytt.
I stedet for å basere sikkerhetstiltakene på nasjonale tilhørighet hos de ansatte, bør man ta utgangspunkt i hvilke roller som har tilgang til verdier og informasjon som utenlandsk etterretning kan være interessert i.
Verdivurdering er en metode man kan bruke for å fastsette hvilke verdier som er ekstra utsatte i en virksomhet. PST mener land som Russland er interessert i «informasjon om norske holdninger og beslutningsprosesser, i tillegg til internasjonalt samarbeid som Norge er en del av».
En oversikt over hvilke roller som har tilgang til viktige verdier, gjør den videre jobben enklere: Man kan øke bevisstheten hos dem med mest utsatte roller som har tilgang til størst verdier for virksomheten. Samtidig unngås diskriminerings- og personvernutfordringene knyttet til den ansattes nasjonale tilhørighet.
3. Snakk åpent om trusselen
Å forstå hva dagens sikkerhetssituasjon innebærer kan være vanskelig, også for «vanlige ansatte». Å snakke åpent om etterretningstrusselen vil skape en forståelse og forutsigbarhet for hva den innebærer – både for den enkelte og for virksomheten.
Den såkalte ubevisste innsideren kan gi fra seg informasjon eller skade virksomheten uten intensjon; det er nok å være uoppmerksom eller mangle kjennskap til ulike sikkerhetsbestemmelser og hensikten med dem.
Henter ekspert fra NSM: – Dennis' erfaring er en stor mangelvare i markedet
Derfor er opplæring og bevisstgjøring så viktig. Man bør bruke tid på å snakke med de ansatte om hvorfor de kan være interessante for mulige trusselaktører. I tillegg bør man informere grundig om hva slags hendelser eller endringer de ansatte bør rapportere videre til ledelsen. En lav terskel for å melde fra om mistenksomme forhold – både på jobb og på fritiden – er en god start.
4. Ta vare på dine medarbeidere
Flere med tilknytning til Russland har følt seg diskriminert etter at krigen brøt ut. Sikkerhetsarbeidet skal ikke handle om mistenkeliggjøring av medarbeidere. I flere saker som har omhandlet innsidere, har det vist seg at innsideren har vært en misfornøyd ansatt. Veien til misnøye er kortere hvis man ikke føler seg tatt vare på av arbeidsgiver. Derfor kreves en fin balansegang mellom sikkerhet og det å ta vare på den ansatte.
Nasjonal tilhørighet kan være et svært sårbart tema for de som er berørt. Empati er derfor viktig. Ledere eller andre som snakker med ansatte om dette, bør derfor ha god kunnskap om hvordan man snakker med mennesker, for å sikre god kommunikasjon og unngå feiltolkninger.
Ledere bør være tilgjengelige for ansatte som ønsker å snakke om egne tilknytninger eller hvordan de opplever situasjonen. Det å tilrettelegge for dialog, sikrer både den ansatte og sikkerheten i virksomheten.
Uavhengig av trusselsituasjonen, bør alle virksomheter jobbe for å ha en åpen og god kultur hvor medarbeidere blir hørt og ivaretatt. Dette er ikke gjort på 1-2-3, men krever langvarig og målrettet arbeid.
De klarte det få andre har klart: En IT-ledergruppe med flest kvinner
