Først av alt, dette er ikke et innlegg om problematikken rundt sikkerheten i eller datainnsamlingen som gjøres av verken Tiktok eller Telegram (eller andre apper for den saks skyld), det har jeg ikke noe grunnlag for å si noe om, og det er heller ikke poenget.
Jeg vil heller ikke kritisere NSM for deres anbefaling om å ikke installere enkelte apper på tjenesteenheter som er tilknyttet virksomhetens interne digitale infrastruktur og tjenester. Dette er gode råd som absolutt bør følges, også av mange private aktører.
Problemet oppstår når for eksempel Bergen kommune strammer inn bruken av Tiktok og Telegram, og når man tenker gjennom hvilke konsekvenser dette får for enkelte ansatte.
At Bergen kommune er i sin fulle rett til å kreve dette på tjenesteenheter, er hevet over enhver tvil, og det er faktisk meget fornuftig. Bergen kommune skriver i Fullmaktssak: Innskjerping av muligheten for å bruke Tiktok og Telegram på kommunens tjenesteenheter:
«Fortsatt bruk av Tiktok eller Telegram på private enheter, forutsetter at den ansatte sletter jobbrelaterte apper og systemer på enheten, og ikke lenger benytter denne til tjenstlige formål.
Applikasjonene Tiktok eller Telegram skal heller ikke installeres på private enheter som har tilgang til virksomhetens interne digitale infrastruktur eller tjenester, eksempelvis gjennom bruk av kommunens epost»
Dette budskapet er også sendt ut på e-post til ansatte i kommunen.
Bruker privattelefon på jobb
Slik det fremstår i skrivet, bes alle ansatte i Bergen kommune som bruker private enheter og ikke bare tjenesteenheter, om å slette de nevnte appene fra sitt private utstyr, dersom dette for eksempel benyttes for å lese e-post eller benytte andre interne tjenester. Det er i og for seg også helt i orden, men da oppstår det et annet problem. I Bergen kommune, og sikkert veldig mange andre kommuner i Norge, benyttes private enheter i stor grad til tjenestelige formål. Dette kan være e-post, eller det kan være oppslag i vaktplaner eller lignende.
Det er svært mange ansatte som faktisk benytter sine private enheter til dette, og de det gjelder, står nå i en situasjon der de må velge: Privat bruk eller tjenestelig bruk av en privat enhet.
Som et helt konkret eksempel har man en barnehageassistent som enten kan benytte seg av enheten sin som privatperson eller kan sjekke vaktplanen for den kommende uken — uten at Bergen kommune har noe alternativ å tilby, dersom man faktisk ønsker å bruke private enheter som – ja, en privat enhet.
Forventningen til Bergen kommune er jo helt tydelig at man benytter seg av privat enhet til å sjekke mail og interne systemer. Det originale skrivet baserer seg også på tillit, at man som ansatt bare følger denne instruksen og avinstallerer appene det er snakk om. Ingenting hindrer de ansatte i å overse det og fortsette som før. Dette fører til at Bergen kommune sender ut en ny melding, der det kreves at privat utstyr innrulleres i Firmaportalen, slik at enheten kan administreres via denne. Med andre ord pålegger Bergen kommune sine ansatte som bruker privat utstyr til jobb, at de skal kunne administrere disse enhetene, selv om de ikke er kjøpt inn eller eid av Bergen kommune.
Privat eller jobbens?
Firmaportalen har flere typer policy for endepunkter, men grovt sett kan man se på personlige enheter og bedriftsenheter. Dersom disse private enhetene innrulleres som personlige enheter, vil ikke Bergen kommune kunne sjekke om for eksempel Tiktok er installert på telefonen. Dermed vil ikke dette hjelpe på situasjonen. Dersom enhetene innrulleres som bedriftsenheter, vil Bergen kommune kunne hente ut app-lister fra dem, og dermed kan kommunen nekte tilgang til for eksempel mail dersom Tiktok er installert. Problemet med dette er at det også gir tilgang til ganske mye mer informasjon fra private enheter, slik som posisjonsdata og også muligheter for fjernsletting av enheten.
Nå vet ikke jeg detaljene i hvordan dette er satt opp og hvilke policyer som gjelder, men er det rimelig at en arbeidsgiver krever å få administrere privat utstyr som den ansatte må bruke i jobbsammenheng, uten at det finnes et alternativ?
Det kan jo ikke være slik at en arbeidsgiver skal kunne diktere hva som kan være installert på en privat enhet, samtidig som den fremdeles klassifiseres som privat?
Det er selvsagt også et stort kostnadsbilde knyttet til dette. Merutgiftene som Bergen kommune vil få ved å måtte tilby tjenestetelefoner til nesten samtlige ansatte, er jo utvilsomt betydelige, men det er jo faktisk den ytterste konsekvens av at man har behov for kontroll på enhetene.
IKT-sikkerhet kan ikke overlates til den enkelte sluttbruker av enheter og tjenester, dette må ligge på andre nivåer i IKT-grunnmuren. Det løses i alle fall ikke av at arbeidsgiver tar kontroll på utstyr som ikke er arbeidsgivers eiendom.
Det faller jo på sin egen urimelighet.