Nøkkelkort, pinkode og kamera er effektive kilder til å spore bevegelser og atferd hos brukere av adgangssystemer, men det er grenser for hvilke data som kan samles og hva de kan brukes til. Som låsesmed bør du gjøre systemeier oppmerksom på personvernreglene.
Når det installeres adgangssystem i et lokale, er systemeier pålagt å varsle Datatilsynet om anskaffelsen. Du som leverer løsningen kan med fordel gi kunden en orientering om hva adgangskontrollen kan brukes til og ikke.
For deg som er litt fersk i dette faget: Last ned denne proffguiden.
Begrensninger
En viktig begrensning jeg vil trekke frem er bruk av kombinasjonen kort og pinkode. Adgangssystemet logger slike data, men for eksempel en arbeidsgiver kan ikke lagre dette lenger enn i 90 dager. Årsaken er at denne informasjonen gir detaljert informasjon om ansattes bevegelser internt i, og inn og ut av bygget.
Det er ikke tilstrekkelig med en forsikring om at slike lagringsrutiner er på plass. Systemet skal slette 90 dager gamle data fra loggen automatisk, og denne rutinen skal kunne dokumenteres.
Reglene gjelder digital informasjon, så en systemeier som absolutt vil ha informasjonen tilgjengelig lenger kan skrive ut loggen før sletting. Jeg vil nå hevde at dette er å bevege seg i en gråsone i forhold til personvernet.
Ubrukelig informasjon
Slike begrensninger gjelder ikke når adgangssystemet er satt opp til å lese av kortet uten bruk av kode. Det er fritt frem for å logge slik passeringer, og du kan lese av loggen. Derimot bør du gjøre systemeier oppmerksom på at det ikke er lov til å bruke denne informasjonen til noe som helst. Forklaringen er at et kort uten kode kun angir kortnummer. Det finnes naturlig nok en liste over hvem det enkelte kortnummer tilhører, men det vil ikke være påvist hvem som faktisk har brukt kortet.
Hvis det skulle skje noe uønsket, som et tyveri, kan systemeier hente ut informasjon om hvilket kort som er brukt på hvilken dør på et tidspunkt. Dette er likevel ikke noe bevis, siden brukeren i teorien kan ha lånt bort eller mistet nøkkelkortet sitt.
Som leverandør bør du gi kunden følgende råd for å opprettholde sikkerhet og personvern:
Noen medarbeidere slurver med sikkerheten og oppbevarer koden sammen med nøkkelkortet. Enkelte velger til og med å klistre en post it-lapp med koden på selve kortet. Dette åpner for misbruk, så systemeier må innprente hos sine medarbeidere at dette er en praksis som ikke tillates.
Tips: Du kan anbefale at den som forvalter adgangskontrollen ikke skriver ned den personlige pinkoden på en lapp som sitter på kortet når brukeren får kortet utdelt.
Les gjerne: Online eller offline?
Rapporteringsplikt
Overvåkingskameraer blir stadig mer populært. Her bør du selvsagt gi råd om best mulig kvalitet slik at kunden får høyoppløselige bilder som gir nytteverdi. Samtidig kan du opplyse om at hun har plikt til å rapportere hvert eneste kamera til Datatilsynet.
Det kreves ingen tillatelse, men Tilsynet ønsker en oversikt over hva slags kameraer som er montert hvor i dette landet. Samtidig er det pålegg om å varsle kameraovervåkingen med skilt.
Last gjerne ned denne guiden hvis du har behov for å lære mer om adgangssystem.
