Tapping av bedriftens kundedatabaser

(Skrevet 01.12.2001 )

Tapping av bedriftens kundedatabaser og andre immaterielle verdier.


Forfatteren er advokat i Advokatfirmaet Steenstrup Stordrange.


Bedrifter opplever fra tid til annen at utro medarbeidere tar med seg kundedatabaser og andre opplysninger for å bruke i konkurrerende virksomhet. Dette kan for eksempel skje ved at medarbeiderne sender dokumenter som vedlegg til e-post til privat e-postkasse. Dette kan utsette bedriften for store økonomiske tap og bør forebygges, samtidig som man må sikre seg mulighet til å gjennomføre tiltak dersom man skulle bli utsatt for slik aktivitet.

Alt som skjer i datasystemer blir logget. Det er imidlertid strenge regler for hva disse loggene kan brukes til. Forskrifter til personopplysningsloven sier at loggene bare kan brukes til å administrere datasystemet og til å avdekke eller oppklare sikkerhetsbrudd. Det man finner ut av slik bruk av loggene, kan ikke lovlig brukes senere for å overvåke eller kontrollere de ansatte. Hva kan en bedrift gjøre dersom man har mistanke om ulovlig ”tapping” av bedriftens kundebaser eller andre immaterielle verdier? Dersom det er mistanke om straffbare forhold, bør forholdet anmeldes og etterforskes av politiet. Dette kan være aktuelt dersom det er mistanke om at medarbeidere laster ned ulovlig pornografi.


For å unngå konflikt om hensynet til de ansattes personvern og bedriftens behov for å beskytte seg mot illojale medarbeidere bør bedriften skaffe seg de ansattes samtykke til å kontrollere loggene for å beskytte sine immaterielle verdier. Dette bør tas inn i arbeidskontraktene.

Uten slikt samtykke fra de ansatte må bedriften vurdere konkret om bedriftens interesser veier tyngre enn hensynet til de ansattes personvern. Ved mistanke om tapping av bedriftens immaterielle verdier vil bedriftens interesse veie tyngst. Det er enklere å skaffe generelt samtykke i ansettelseskontrakten, enn å ta en eventuell konflikt om dette etterpå.

Uansett om ansattes samtykke foreligger eller ikke, må slik bruk av loggene meldes til Datatilsynet på et meldeskjema som er lagt ut på Datatilsynets hjemmeside. Datatilsynet vil også stille spørsmålstegn ved slik bruk dersom virksomheten ikke har skaffet seg de ansattes samtykke.

Bedriften bør gjøre det helt klart at de ansattes e-post kan bli undersøkt av bedriften. Det avgjørende er at de ansatte har fått klar beskjed om at bedriften vil sjekke e-post dersom de har saklig behov for det. Privat korrespondanse har imidlertid bedriften ikke rett til å lese, men bedriften kan forby de ansatte å bruke bedriftens e-post og datautstyr til private formål. Dersom dette gjøres, kan man selvsagt ikke bebreide de ansatte dersom de mottar privat e-post da den ansatte ikke vil ha kontroll over dette selv.

Det avgjørende er at de ansatte ikke kan forvente å kunne bruke e-post eller bedriftens dataanlegg uten at arbeidsgiver kan sjekke ved behov. Bedriften bør også forbeholde seg retten til å slette de ansattes private filer i datasystemet. Informasjon om bedriftens behandling av informasjon kan legges inn i arbeidsreglement, eller meddeles de ansatte på annen måte.
Erfaring viser at virksomheter bør gjøre tiltak for å beskytte egne immaterielle verdier, samt å beskytte seg mot skadelig aktivitet i dataanlegget fra de ansattes side. Et eksempel er en kommune hvis datasystem ble lammet i dagevis fordi en ansatt hadde lastet ned store menger ulovlig pornografi. Her var det sprengt datakapasitet som var problemet, i tillegg til de ulovlige forholdene.

Dersom bedriften behandler kundeopplysninger, personalopplysninger og andre personopplysninger, er det nå krav om informasjonssikkerhet og rutiner for dette. Slike rutiner kan også brukes for å beskytte de økonomiske verdiene som kundedatabaser, CRM-databaser og bedriftshemmeligheter representerer.

Dette kan gjennomføres praktisk i datainstruks, sikkerhetsreglement eller lignende. Dette bør utarbeides i samarbeid med de ansatte: Dette vil sikre lojal etterlevelse av sikkerhetsrutinene, samtidig som bedriften sikrer seg muligheter til beskyttelsestiltak dersom mistanke om tapping av immaterielle verdier skulle oppstå.

Siste saker
Mest lest