Personellsikkerhet i finans

Finansielle tjenester er vurdert som en samfunnskritisk funksjon (1). I dette inngår evnen til å opprettholde sikker formidling av kapital mellom aktører nasjonalt og internasjonalt, evnen til å gjennomføre betalinger og andre finansielle transaksjoner på en sikker måte, og evnen til å opprettholde befolkningens tilgang til nødvendige betalingsmidler.

Det norske etterretnings-, overvåknings- og sikkerhetstjenestene (EOS-tjenestene) har i de senere år varslet om et stadig forverret trusselbilde, spesielt i det digitale rom. Etterretningstjenesten går så langt som å si at vi står ovenfor «et mer alvorlig trusselbilde enn på flere tiår». Nordic Financial CERT beskriver et krevende trusselbilde og at de kriminelle blir mer og mer profesjonelle og sofistikerte. Trusselaktørene som er relevante for finansnæringen har ressurser til å utvikle seg og næringen må derfor beskytte seg innenfor alle aspekter av sikkerhet.

Finansselskaper blir kontinuerlig utsatt for digitale angrep, men svært få av disse angrepene får særlig store konsekvenser. De forsøkene som kan resultere i alvorlige konsekvenser, blir raskt oppdaget og stoppet. Dermed vil trusselaktører måtte finne andre metoder for å skaffe seg tilgang til bedriftenes infrastruktur, data og andre verdier. Det å være på innsiden, med tilganger til kritiske funksjoner og informasjon i selskaper, vil være en slik alternativ tilgangsmulighet. Innsidevirksomhet er derfor en trussel bedriften må ta på største alvor og systematisk arbeid med personellsikkerhet er vesentlig for finansselskaper. Dette betyr at bedriftene må ha gode risikoreduserende tiltak, slik at uønskede tilsiktede handlinger unngås. Selv om selskapene har gode risikoreduserende tiltak er det viktig å beskytte seg helhetlig. Hvis det på tross av de preventive tiltakene viser seg at noen ansatte misbruker sine rettigheter til å utføre uønskede, skadelige handlinger er det viktig å ha tiltak slik at dette blir oppdaget raskt, og samtidig må bedriftene ha tiltak for å redusere konsekvens og omfang.

Ressurspersoner

I arbeidet med veilederen har Finans Norge hatt kontakt med ressurspersoner både innenfor og utenfor næringen innen HR, sikkerhet og personvern. Vi retter en stor takk til alle gode bidragsytere i DNB, Gjensidige, Fana Sparebank, Storebrand, Aker og Telenor.

(1) Direktoratet for samfunnssikkerhet og beredskap, temarapport, Samfunnskritiske funksjoner: https://www.dsb.no/globalassets/dokumenter/rapporter/kiks-2_januar.pdf

Veilederen går gjennom alle faser av et arbeidsforhold for ivaretakelse av personellsikkerhet 1) ved rekruttering av ansatte, 2) underveis i arbeidsforholdet og 3) ved avslutning av arbeidsforholdet. Vurderinger opp mot diskrimineringsregelverket og personvernregelverket blir behandlet særskilt.

I veilederen gis det en bred gjennomgang av mulige tiltak for ivaretakelse av personellsikkerheten. Medlemsbedriftene må selv vurdere hvilke steg og tiltak som er relevante og nødvendig i den enkelte prosess, og som er anvendelige for den enkelte bedrift.

Ved behov for konkret rådgivning, ta kontakt med Finans Norge Arbeidsliv.

En innsider er en person som er på innsiden, og som utnytter sine rettigheter. En innsider defineres av Nasjonal sikkerhetsmyndighet (NSM) som: «en nåværende eller tidligere ansatt, konsulent eller kontraktør som har eller har hatt legitim tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.»

I finansnæringen har vi verdier som er forholdsvis enkelt tilgjengelig for ansatte og andre som er på innsiden, og det er en stor spennvidde i trusselaktører som ser på selskaper i næringen som et attraktivt mål. Det er også ulike motivasjoner, metoder og ressurser hos de ulike aktørene. Derfor er det viktig at bedriftene har et bevisst forhold til personellsikkerhet i hele sin bredde. En skjematisk og forenklet oversikt over de ulike typene innsidere som gjennomfører uønskede tilsiktede handlinger kan se slik ut:

I tillegg til den bevisste innsideren, kan uønskede handlinger også skje som følge av ubevissthet eller manglende kompetanse. Derfor er det et poeng å øke kompetansen om trussel- og risikobildet, samt en forståelse av bakgrunnen for ulike sikkerhetstiltak, hos alle ansatte i bedriftene og i næringen.

For å sikre god oppfølging av personellsikkerheten er det avgjørende at ledere er involvert og tar sitt ansvar som risikoeiere. Dermed er det også behov for at ledere blir oppdatert om det til enhver tid gjeldende trussel- og risikobildet. Ledere må også få opplæring i hvordan ulike tiltak kan gjennomføres slik at risikoen holdes på et akseptabelt nivå.   

Sikkerhetstiltak kan oppleves som en inngripen i personvernet, eller som en mistillit til de ansatte. Hensikten må imidlertid være å redusere risikoen for at den enkelte medarbeider kan bli utsatt for press, rekruttert av noen med ondsinnede hensikter eller å gjøre feil med utilsiktede alvorlige konsekvenser. Med andre ord handler sikkerhetstiltak i all hovedsak om å ivareta og støtte de ansatte i situasjoner som kan komme, slik at de er så godt rustet som mulig. Samtidig må det også tas høyde for den selvmotiverte innsideren. Alle tiltak må balanseres mellom ivaretakelse av de ansatte og kontrollen som er nødvendig for å drive selskapet sikkert og effektivt. 

Når risikovurderingene og risikoklassifiseringen av stillinger er gjennomført foreslås det å implementere en rekke tiltak for å kontrollere den gjenværende innsiderrisikoen. I tabellen under følger forslag til tiltak og videre vurderinger for helhetlig styring av personellsikkerhet:

4.1.2 Gjennomgående tiltak

Nedenfor følger ulike tiltak som anbefales for å sikre en god og helhetlig styring av personellsikkerhet.  

Gjennomgangen dekker følgende trinn:  

1. Rekruttering: Risikovurdering av den aktuelle stillingen, utforme stillingsutlysning med nødvendige sikkerhetskrav, gjennomføre intervju og bakgrunnssjekk (punkt 5.2) 
    
2. Under arbeidsforholdet: Opplæring om sikkerhet, oppfølging av risikoutsatte stillinger og av ansatte som har forhold ved seg som kan gjøre dem ekstra utsatt for press (punkt 5.3) 
   
   
3.  Avslutning av arbeidsforholdet: Eksempler på risikoreduserende tiltak med avslutningssamtale, bevissthet rundt å bevare gode relasjoner og eventuell endring av tilganger og oppgaver (punkt 5.4) 

I punkt 5.1 gis en kort oversikt over relevante regelverk som bedriftene må ha oversikt over når arbeidet med personellsikkerhet planlegges og gjennomføres. 

Rekrutteringsfasen og undersøkelsene som gjøres der, legger grunnlaget for å sikre at nye ansatte ikke bare har de nødvendige kvalifikasjonene, men også oppfyller sikkerhetskravene som er essensielle for bedriftens integritet og beskyttelse av verdier. En systematisk tilnærming til rekruttering bidrar til å minimere risikoen for at personer med uærlige hensikter eller som kan utgjøre en sikkerhetstrussel, får tilgang til sensitive områder og informasjon. Noen forhold som bedriften ønsker å undersøke, kan innebære forskjellsbehandling og mulig diskriminering, men ikke nødvendigvis. Det er sentralt at bedriften gjør de nødvendige vurderinger for å finne hvilket handlingsrom for spørsmål og undersøkelser som foreligger i det konkrete tilfellet. Stegene og vurderingene bedriften bør vurdere, gjennomgås nedenfor. Hvor omfattende prosess det legges opp til, må vurderes konkret opp mot hvor sterke sikkerhetshensyn som må tas i den enkelte rekrutteringsprosess. 

5.2.1 Konkret risikovurdering av den aktuelle stillingen 

• Den aktuelle stillingen må vurderes konkret, sett opp mot de sikkerhetshensynene som bedriften mener må ivaretas og hvilke lovpålagte krav som eventuelt hører til stillingen. Stillingens plassering i organisasjonen, ansvarsnivå, fullmakter og tilganger er relevante momenter.   
• Jo større risiko og skadepotensiale ved et sikkerhetsbrudd av en person i den stillingen, jo grundigere bakgrunnssjekk kan være nødvendig å gjennomføre. 
• Dokumenter vurderingene skriftlig og lagre internt. 
• Vurder om ansettende leder har behov for veiledning i hvordan prosessen skal følges opp. 

5.2.3. Forberede- og gjennomføre intervju – hva trenger bedriften informasjon om?

• Basert på søknad, CV og andre vedlagte dokumenter bør bedriften vurdere om det er forhold som det er behov for å få klarlagt i et intervju. Det kan for eksempel være landtilknytning i form av utdanningsland eller tidligere arbeidsforhold, som kan gjøre at personen kan være ekstra sårbar for press utenfra.
• ID-kontroll bør gjøres i alle intervjuer, ved fremleggelse av gyldig pass.
• Sikkerhet og kandidatens refleksjoner rundt dette temaet bør være del av intervjuet, og da knyttet opp mot den aktuelle rollen.
• Intervjuet må gjøres innenfor rammene av diskrimineringsvernet og GDPR. Det er særlig tilknytning til andre land som kan bli en problemstilling. Etter begge regelsettene er det i utgangspunktet ikke tillatt å behandle opplysninger om etnisitet. Vurderingen må dokumenteres og lagres internt. Se faktaboks om diskrimineringsvurdering.
• I henhold til diskrimineringsregelverket er innhenting av opplysninger om etnisitet i rekrutteringsprosess i utgangspunktet forbudt, med mindre bedriften har vurdert at det «har avgjørende betydning for utøvelsen av arbeidet eller yrket», jf. ldl. § 30 jf. § 9 andre ledd. Bedriften må dermed analysere behovet for opplysningene konkret opp mot den aktuelle stillingen. Det er et snevert unntak, og dokumentasjon på vurderingene og begrunnelsene er viktig. Bestemmelsen gjelder kun innhenting i ansettelsesprosessen, og ikke underveis i arbeidsforholdet. Se nærmere om diskrimineringsvurderingen nedenfor i egen faktaboks.
• Etter GDPR må det være behandlingsgrunnlag etter art. 6 nr. 1. Her vil bokstav bokstav f) om berettiget interesse være et aktuelt grunnlag. eventuelt bokstav c) om rettslig forpliktelse. Rasemessig eller etnisk opprinnelse, religion og helseopplysninger (for eksempel forhold til rus) er såkalte særlig kategorier personopplysninger, jf. GDPR art. 9 nr. 1. Det er i utgangspunktet et forbud mot å behandle slike opplysninger, og bedriften kan ikke spørre om eller innhente slike opplysninger uten særskilt grunnlag. GDPR art. 9 nr. 2 e) kan være mulig behandlingsgrunnlag. I tilfelle hvor e) ikke er tilstrekkelig, kan bokstav g) vurderes. Samtykke som behandlingsgrunnlag anbefales i utgangspunktet ikke, på grunn av skjevheten i styrkeforholdet mellom partene, i tillegg til at samtykke kan trekkes tilbake på ethvert tidspunkt. Dersom bedriften ser behov for å innhente opplysninger om slike forhold, anbefales at bedriften gjør vurderinger etter GDPR i forkant.

5.2.4 Bakgrunnsundersøkelser – standard og utvidet 

• Standard bakgrunnsundersøkelser. I alle prosesser bør bakgrunnsundersøkelsen inneholde: 
  • Verifisering av CV, fremlagte dokumenter og kandidatens identitet, for eksempel ved fremvisning av pass på intervjuet.  
  • Referansesjekk fra tidligere og eventuelt nåværende arbeidsgiver.  
• Utvidet bakgrunnsundersøkelse, særlig om kredittvurdering og politiattest 
  • Om det er saklig grunn til å gjennomføre utvidet bakgrunnsundersøkelse, må vurderes opp mot lovpålagte kvalifikasjonskrav og om det er innenfor rammen av diskrimineringsregelverket og GDPR. Vurderingene av behovet for grundigere bakgrunnssjekk bør skriftliggjøres og lagres internt.  
  • Politiattest kan kreves dersom kandidaten for eksempel er underlagt egnethetskrav av Finanstilsynet, jf. blant annet finansforetaksloven § 3-5, jf. § 3-1 fjerde ledd, § 8-9, § 8-14 og finansforetaksforskriften § 3-1, jf. politiregisterloven § 40. Se for øvrig politiets fullstendige liste over hjemler som gir grunnlag for innhenting av politiattest i finansbransjen på side 7 flg. Behandlingsgrunnlag i GDPR er da rettslig forpliktelse, jf. art. 6 nr. 1 c. 
  • Kredittvurdering av kandidaten forutsetter at kravene i GDPR er oppfylt. Mulige behandlingsgrunnlag er rettslig forpliktelse, jf. art. 6 nr. 1 c eller dersom det er nødvendig for å ivareta legitime interesser etter en interesseavveining, jf. art. 6 nr. 1 f. Samtykke, jf. art. 6 nr. 1 a), frarådes som rettslig grunnlag.   
  • Se også Datatilsynet sin veileder om bakgrunnsundersøkelser, herunder kredittsjekk og politiattest/vandel. 
  • Før bedriften går videre med utvidede bakgrunnsundersøkelser, anbefaler Finans Norge at kandidatene informeres og gis mulighet til å motsette seg at slike undersøkelser gjøres. De bør også informeres om at konsekvensen av å motsette seg er at de ikke blir med videre i prosessen.  

5.2.5 Oppfølgende samtale med kandidaten etter bakgrunnsundersøkelsen 

• En oppfølgende samtale kan være nødvendig av flere grunner. Det kan være fordi andre lands myndigheter eller tidligere arbeidsgivere ikke gir nødvendig dokumentasjon for å verifisere informasjon. I andre tilfeller er det uforklarlige tomrom i CV-en eller mulige sikkerhetsutfordringer knyttet til kandidatens forbindelse til andre land eller personer. For stillinger som anses som høyrisikostillinger, kan en oppfølgende samtale med sikkerhet som tema være hensiktsmessig som en del av de alminnelige undersøkelsene ved ansettelse i disse stillingene. 
• Kandidaten får mulighet til å komme med egne oppklarende merknader, noe som sikrer at saken blir tilstrekkelig belyst før bedriften tar sine endelige beslutninger.  
• Samtalen kan også bidra til å gi innsikt i kandidatens forståelse av, og refleksjon rundt, sikkerhetsaspektet. 

5.2.6 Vurdering av risikoreduserende tiltak og restrisiko 

• Basert på det som har kommet frem i bakgrunnsundersøkelsene mv., bør bedriften vurdere om det er behov for, og mulig med, risikoreduserende tiltak.  
• Vurderingen av om restrisiko er akseptabel bør gjøres i samråd mellom ansettende leder, HR og sikkerhetsansvarlig i bedriften, hvor ansettende leder normalt er ansvarlig for beslutningen. I bedrifter med ansettelsesutvalg jf. Hovedavtalen kapittel 10, vil beslutningen om selve ansettelsen ligge til ansettelsesutvalget. Dersom restrisikoen ikke anses akseptabel, bør bedriftens vurderinger og begrunnelse dokumenteres og lagres. Bedriften er ikke forpliktet til å begrunne avslag på søknad overfor kandidaten, men bør være forberedt på at det kan komme spørsmål begrunnelse fra kandidater om begrunnelse og innsyn i hvilke personopplysninger som er innhentet.  
• I noen tilfeller er det sikkerhetsmessige forhold som fortsatt må avklares når tilbud skal gis, som for eksempel sikkerhetsklarering eller egnethetsvurdering med politiattest. Bedriften vurdere om stillingen tilbys med forbehold om at kandidaten oppfyller de sikkerhetsmessige kravene og at tiltredelse avventer, eller om kandidaten skal tiltre, men at fortsatt arbeid forutsetter oppfyllelse av de sikkerhetsmessige kravene. Ta kontakt med Finans Norge Arbeidsliv for en konket rådgivning i slike saker. 

5.2.7 Utforming av arbeidsavtalen 

• Kvalifikasjonskrav og forutsetninger for tiltredelse, som for eksempel sikkerhetsklarering, bør stå i tilbudsbrev og arbeidsavtalen.  
• Det kan vurderes å ha et eget vedlegg til arbeidsavtalen om informasjonssikkerhet og om bedriftens monitorering av sikkerhetshensyn. 
• Innholdet i arbeidsavtalen er sentralt i vurderingen av arbeidsgivers styringsrett ved senere oppståtte behov for endringer i arbeidsforholdet. 

Underveis i arbeidsforholdet kan bedriften ha ulike behov for å iverksette risikoreduserende tiltak. Det kan være generelle tiltak, eller særlige, individuelle tiltak. Særlige tiltak kan være for å følge opp forhold som er kommet frem hos enkeltansatte i rekrutteringsfasen, eller at det underveis i arbeidsforholdet oppstår forhold i en ansatt sin situasjon, som gjør at bedriften må vurdere risikoreduserende tiltak. Eksempler på risikoreduserende tiltak kan være jevnlige sårbarhetssamtaler, tilgangsstyringer, eller endringer i arbeidsforholdet. Behovet for slike tiltak må vurderes opp hva slags type stilling det er og risikovurderingen av den aktuelle stillingen, så vel som de rettslige rammer i arbeidsmiljøloven, diskriminerings- og personvernsregelverket. I vurderingen av om risikoreduserende tiltak skal iverksettes anbefales det å involvere tillitsvalgte og sørge for god dialog med den berørte ansatte. Ulike risikoreduserende tiltak blir gjennomgått nedenfor. Tiltakene må også sees i sammenheng med øvrige informasjonssikkerhetstiltak i bedriften. 

5.3.1 Sikkerhet på agendaen i oppstartsamtale og i medarbeidersamtalene 

• Sårbarhet, sikkerhet og risiko bør være del av  oppstartsamtalen med nyansatte og i medarbeidersamtalene til alle ansatte.  
• Dette er ikke sårbarhetssamtaler, og fokuset bør være at de ansatte får en forståelse av bedriftens sikkerhetsarbeid, bevissthet rundt hvilke risikoer stillingen fører med seg og hvilke sikkerhetstiltak som er iverksatt i forbindelse med stillingen. 
• Sikkerhet bør være er en del av de interne retningslinjer som nyansatte må sette seg inn i. 

5.3.2 Sårbarhetssamtale 

• En sårbarhetssamtale har som mål å beskytte både medarbeideren og bedriften. Dette gjøres ved å øke bevisstheten om trusler og sikkerhet. Når medarbeideren blir oppmerksom på hvordan sårbarheter kan utnyttes, styrker man deres motstandsdyktighet mot ondsinnede handlinger. 
• Sårbarhetssamtalen bør være basert på frivillighet og gjennomføres på en måte som fremmer ærlighet, åpenhet og tillit.  
• Bedriften vurderer selv relevant deltakelse ut ifra sin interne organisering av arbeidet med personellsikkerhet. Som et utgangspunkt bør leder med personalansvar delta, som er den har den løpende oppfølgingen, eventuelt med bistand fra sikkerhet.  
• Næringslivets sikkerhetsråd (NSR) har laget en Veileder i sårbarhetssamtaler.  
  Finans Norge anbefaler at bedriftene legger veilederen til grunn. Den gir en helhetlig oversikt over arbeid med sårbarhetssamtaler, fra forankring av konseptet med tillitsvalgte, verneombud, mv og til den konkrete gjennomføringen av samtalene. Veilederen gir også eksempler på når sårbarhetssamtale kan være et egnet tiltak.  
• I noen tilfeller kan det oppstå spørsmål om informasjonen fra sårbarhetssamtalen kan danne grunnlag for arbeidsrettslige oppfølginger av arbeidstaker i etterkant. I slike tilfeller anbefaler vi at bedriften tar kontakt med Finans Norge Arbeidsliv.  

5.3.3 Endringer i arbeidsforhold på grunn av sikkerhetshensyn

• Sikkerhetshensyn kan være saklig grunn til å innføre særlige risikoreduserende tiltak i ansattes arbeidsforhold. Enten på grunn av ytre endringer i for eksempel geopolitiske situasjonen, eller fordi det har oppstått endringer eller en situasjon på den ansattes side. Eksempler er endringer i tekniske og organisatoriske tilganger, begrensninger i fullmakter, endring av oppgaver og organisatorisk plassering. Et annet, konkret tiltak er det såkalte «fire øyne-prinsippet». Dette innebærer at minst to personer må gjennomgå og godkjenne viktige beslutninger eller dokumenter. Dette prinsippet brukes ofte for å sikre nøyaktighet, redusere risikoen for feil, og fremme etisk oppførsel i ulike sammenhenger. 
• Det må vurderes om bedriften har arbeidsrettslig adgang til å gjøre tiltak. Bedriften må da gjøre en konkret vurdering av om den planlagte endringen/tiltaket er innenfor eller utenfor styringsretten. 
• Finans Norge anbefaler å ha en åpen dialog med den ansatte og eventuelt tillitsvalgte om behovet for endringen, for å skape en felles forståelse for behovet.  
• Endringer innenfor styringsretten kan bedriften gjennomføre ensidig, uten å innhente samtykke eller følge reglene for oppsigelse. 
• Hvis endringer innenfor styringsretten ikke er nok i et sikkerhetsmessig perspektiv, kan bedriften vurdere mer inngripende endringer. Det krever enten samtykke fra arbeidstakeren eller at reglene for oppsigelse følges (jf. aml. kapittel 15). 
• (Endrings)oppsigelser må være saklig begrunnet, basert på trusselbildet og verdiene som skal beskyttes. Bedriften må vise at mindre inngripende tiltak ikke var tilstrekkelige. Kvalifikasjonskravene i arbeidsavtalen, spesielt lovpålagte kvalifikasjonskrav, er sentrale i vurderingen. Hvis en ansatt ikke lenger oppfyller kvalifikasjonskravene og ingen andre oppgaver eller tilpasninger er mulige, kan dette etter en konkret vurdering gi grunnlag for oppsigelse. 

5.3.4 Bakgrunnsundersøkelser og sikkerhetskrav ved ny, intern stilling 

• Ved ny, intern stilling i bedriften, må bedriften gjøre en konkret vurdering av behovet for å gjøre ny og eventuelt grundigere bakgrunnssjekk av arbeidstaker, før hen kan tilbys den nye stillingen. 
• Det gjeldende risikobildet, konsekvensanalyser risikovurdering av den aktuelle stillingen og kvalifikasjonskrav for stillingen er relevante momenter. 
• Krav om autorisasjon, sikkerhetsklarering, egnethet og/eller politiattest, gjelder også for interne kandidater.  
• Stillinger med krav om egnethet etter sektorregelverket er knyttet til den konkrete stillingen. Den ansatte må følgelig vurderes og oppfylle kravene på nytt i ny stilling. 

Perioden fra oppsigelse eller avtale om opphør og frem til avslutning av arbeidsforholdet, bør vies særlig oppmerksomhet. Erfaring viser at det er økt risiko for at informasjon som bedriften har rettighetene til forsvinner ut, i denne fasen av arbeidsforholdet. Dette kan være av ubevisste grunner, fordi den ansatte ikke er godt nok kjent med reglene for informasjonssikkerhet. Eller det kan være bevisste handlinger, altså at den ansatte tar med seg informasjon ut av bedriften selv om den vet at det ikke er adgang til det. Bedriften bør være forberedt på begge situasjoner.

5.4.1 Kan bedriften gjøre endringer arbeidstakers tilganger og oppgaver i oppsigelsestiden?

• Når et arbeidsforhold er i avslutningsfasen, bør bedriften gjøre en kort risikovurdering. I tilfeller med konflikt/misnøye i forbindelse med oppsigelsen og/eller det er en ansatt som har særlig vide fullmakter eller tilganger til kritiske systemer gjennom sin stilling, bør bedriften vurdere om det er behov for særlig oppfølging eller tiltak i oppsigelsestiden.
• Ved eventuelle endringer, må bedriften vurdere om endringen(e) er saklig begrunnet. Tilganger og fullmakter i den konkrete stillingen sett opp imot risikovurderingen ved eventuelle sikkerhetsbrudd kan tilsi at bedriften har saklig grunnlag for å gjøre endringer. Videre vil årsaken til at arbeidsforholdet går til opphør, være relevant i vurderingen.
• Ved kvalifikasjonsmangel hos arbeidstaker, f.eks. manglende sikkerhetsklarering der stilling krever slik klarering, vil det som hovedregel være saklig å endre oppgaver eller tilganger i oppsigelsestiden.
• Oppsigelser grunnet konflikt mellom arbeidstaker og arbeidsgiver eller arbeidstaker har uttrykt misnøye i forbindelse med oppsigelsen, kan arbeidstakers lojalitet være svekket, noe som kan føre til lavere terskel for å begå sikkerhetsbrudd. Det har derfor en selvstendig verdi for bedriften å jobbe for at flest mulig arbeidsforhold opphører i minnelighet.
• Dersom bedriften mener det er for behov for endringer, anbefaler Finans Norge at forslag til endringer tas i dialog med den ansatte og eventuelt tillitsvalgte. Det vil være en fordel å ha en felles forståelse mellom partene for behovet for endringen.

5.4.2 Avslutningssamtale med sikkerhet som tema

• Bedriften bør ha rutiner for å gjennomføre en avslutningssamtale hvor sikkerhet er tema. Samtalen bør gjennomføres kort tid etter at oppsigelse har funnet sted. Det skaper bevissthet hos den ansatte og vil være et risikoreduserende tiltak for å unngå sikkerhetsbrudd.
• I samtalen bør eventuell regulering i arbeidsavtalen om taushetsplikt og rettigheter til arbeidsresultatet og interne retningslinjer for informasjonssikkerhet være tema.

5.4.3 Hva kan bedriften gjøre hvis det avdekkes sikkerhetsbrudd i oppsigelsestiden?

Etter en konkret vurdering av det/de aktuelle bruddene, kan det være grunnlag for suspensjon og avskjed, jf. aml. §§ 15-13 og 15-14. Finans Norge anbefaler at bedriften tar kontakt med Finans Norge Arbeidsliv for konkret rådgivning i saken.

Ved å følge denne veilederen kan bedriftene sørge for at nødvendige sikkerhetstiltak blir vurdert og implementert på en systematisk måte gjennom hele arbeidsforholdet. Dette bidrar til å beskytte virksomheten mot potensielle risikoer og fremmer en kultur av åpenhet, tillit og ansvarlighet.

Ta gjerne kontakt med Finans Norge Arbeidsliv dersom bedriften har behov for rådgivning i saker om personellsikkerhet.