Lojale medarbeidere er en forutsetning for å oppnå tilfredsstillende sikkerhet. Målet med personellsikkerhet er å sikre at ansatte, kontraktører og konsulenter forstår sitt ansvar og er egnet for rollen de er tiltenkt, og å redusere risikoen for tyveri, svindel eller misbruk av utstyr.
Ansettelsesprosessen
Intervju
- Informer om hvor viktig sikkerhetsarbeidet er for virksomheten og hvilke krav en stiller til hver enkelt medarbeider.
- Si fra hvis det kan bli aktuelt å innhente sikkerhetsklarering og at referanser vil bli sjekket.
Arbeidskontrakt
- I arbeidskontrakten må en kreve at medarbeideren forplikter seg til å følge de sikkerhetskrav og retningslinjer som arbeidsgiver presenterer til enhver tid. Dette pålegger både arbeidstaker og arbeidsgiver å være aktiv i forhold til relevante kravdokumenter.
- Arbeidstaker må få nødvendig tid og veiledning i hvilke sikkerhetskrav som gjelder før underskrift kreves.
- Dersom krav til informasjonssikkerhet er omfattende, bør disse presenteres gjennom egen dokumentasjon (informasjonssikkerhetsreglement).
- Arbeidskontrakten må dokumentere hvilke rettigheter arbeidsgiver har mht de produkter arbeidstaker produserer gjennom ansettelsesperioden.
Taushetsløfte
- Eget taushetsløfte/ taushetserklæring må underskrives.
- Dette er et absolutt krav om virksomheten behandler personopplysninger.
Informasjonssikkerhetsreglement
- Regelverket skal på en klar og oversiktlig måte fastslå viktige prinsipper mht forventet atferd fra de ansatte.
- De fleste arbeidstakere har i dag adgang til Internett fra sin arbeidsplass. Arbeidsgiver kan stille krav til hvilken informasjon en skal kunne søke etter, hva en kan laste ned, hvordan en ytrer seg på virksomhetens vegne, hvilke spor en legger igjen etc. Over alle interne krav gjelder norsk lov.
- Bruk av e-post må omtales. Skal en kunne sende/motta privat post gjennom arbeidsgiveres nett? Dersom arbeidsgiver skal kunne ha tilgang til ansattes e-post, krever Datatilsynet at dette er regulert i egen avtale som begge parter underskriver.
- Det er også viktig å avklare om ansatte skal kunne videresende firmapost til privat e-postadresse.
- Reglementet bør omtale i hvilken grad de ansatte kan bruke arbeidsgivers ressurser til privat næringsvirksomhet, foreningsvirksomhet eller enhver privat virksomhet i det hele.
- De ansatte må skriftlig dokumentere at de er kjent med reglementet og aksepterer det.
Ansettelsestiden
Opplæring
Arbeidsgiver må gi ny arbeidstaker en innføring i virksomhetens sikkerhetskrav og rutiner slik at den ansatte forstår hvilke oppgaver og plikter en har.
Styringssystem
Aktuelle lover og forskrifter samt interne krav må være lett tilgjengelig for medarbeiderne, helst gjennom et intranett.
Bevisstgjøring
Sikkerhetskultur må innarbeides gjennom systematiske program for bevisstgjøring. Her må alle ansatte, også ledere, involveres. Ledere må gå foran som et godt eksempel.
Medarbeidersamtalen
Medarbeidersamtalen bør også brukes for å gi tilbakemelding på hvordan de ansatte bidrar i sikkerhetsarbeidet. Kom inn på holdninger til regler og evt. hvilke forbedringsmuligheter medarbeideren ser.
Atferd ved hendelser
For å understreke at virksomheten tar sikkerhet alvorlig, må en oppmuntre til at enhver sikkerhetshendelse dokumenteres og analyseres som et avvik. Dette betyr at en oppfordrer til rapportering for å benytte hendelser i forbedringsarbeidet. Det kan også være aktuelt å innføre belønningssystemer for rapportering. I alle tilfeller må en ikke kritisere atferd til medarbeidere som rapporterer hendelser.
Reaksjon
Virksomheten må ha en policy om hvordan en skal reagere ved hendelser. Forhold som må omtales er om alle tilsiktede handlinger skal anmeldes, om forhold skal få disiplinære følger, om en vil opplyse dette til andre fremtidige arbeidsgivere etc. Dette må kommuniseres til alle ansatte.
Avslutning av ansettelsesforholdet
Fornye taushetsløfte
Ansatte som slutter må skriftlig forplikte seg til å bevare taushet om sensitiv informasjon i en definert periode etter ansettelsesforholdet.
Innlevering av materiale
Arbeidsgiver må ha en sjekkliste som sikrer at sensitiv informasjon blir innsamlet ved fratrede. Alle tilganger må slettes.
Konsulenter, vikarer og lignende
Dersom virksomheten benytter vikarer, konsulenter og andre som ikke er fast ansatte må en sikre at disse blir presentert for og etterlever aktuelle deler av reglementet.
Taushetsløfte
Dersom den aktuelle personen er innleid fra en virksomhet, kan en avtale mellom virksomhetene regulere taushetskrav. Dette må en sjekke nøye, og evt. utforme et eget taushetsløfte.
Bruksrettigheter
Også for innleid personell må en sikre at rettigheter til det som produseres tilfaller oppdragsgiver.