Slik følger UiO opp varslersaken på Naturhistorisk museum

En ukjent person tok seg inn på NHM-direktørens kontor og spredte notatene hennes for alle vinder. UiO har ikke vurdert politianmeldelse.

SAK MED MANGE SIDER: – I mitt fravær har en ukjent person urettmessig gjennomsøkt mitt kontor og mine private skuffer og skap, har Tone Lindheim tidligere uttalt til Uniforum. Nå er UiO snart ferdig med å gjennomgå det universitetet betrakter som en varslersak. 

Foto: Ola Sæther

Håndskrevne notater om ansattes innsats og evner ble funnet på NHM-direktør Tone Lindheims kontor og spredt videre som varslingssak av en ukjent person. Både UiO-ledelsen og en rekke andre mottakere har fått notatene og et følgebrev. Saken er tatt svært alvorlig på UiO og har siden september involvert både fagforeningene, vernelinja, museumsledelsen og UiO-ledelsen.

Nå er behandlingen av saken under avslutning, opplyser personaldirektør Irene Sandlie til Uniforum. Hun bekrefter samtidig at UiO betrakter saken som en varslingssak.

UiO har ikke vurdert politianmeldelse

I notatene som er spredt beskrives navngitte ansattes jobbprestasjoner, personlighet, styrker og svakheter. Formuleringene som er brukt er tidvis svært uformelle, så som at en har et «jævlig kaotisk kontor» og en annen «smiler oppover, hater nedover».

Varsleren ba universitetet «vurdere de administrative, etiske og juridiske sidene ved at Tone Lindheim samler inn personopplysninger av denne art og på toppen av det hele ikke en gang sørger for sikker oppbevaring».

Da Lindheim og museets styreleder Kristin Halvorsen uttalte seg til Uniforum om saken, vektla de to imidlertid at uvedkommende hadde tatt seg inn på direktørens kontor.

– I mitt fravær har en ukjent person urettmessig gjennomsøkt mitt kontor og mine private skuffer og skap, sa Lindheim.

– Jeg synes det er beklagelig at en person helt ulovlig har gått inn på direktørens kontor, rotet rundt i hennes private saker og nå anonymt sprer kopier av notater som ingen andre har noe med, sa Halvorsen.

Likevel er det altså ikke som innbrudd at denne saken følges opp av UiO. Personaldirektør Irene Sandlie beskriver oppfølgingen slik:

– Politianmeldelse har ikke blitt vurdert som aktuelt fra UiOs side. Vi har rettet vår hovedoppmerksomhet mot å følge opp varslingens innhold, skriver hun i en e-post.

Men universitetet vil også se på varslerens metode:

– Fremgangsmåten varsleren har benyttet i denne saken blir også vurdert fra vår side, fortsetter Sandlie.

– Kan være problematisk

Ifølge fagdirektør Knut B. Kaspersen i Datatilsynet er det ikke nødvendigvis fritt fram for en leder å skrive hva som helst om sine ansatte. Han kan ikke uttale seg om den konkrete saken på NHM, men uttaler seg generelt om notater som på en relativt uformell måte beskriver navngitte ansattes innsats og evner.

– Det kan være problematisk at en leder som regnes som arbeidsgiver omgir seg med denne type notater. Lederen kan for eksempel ikke skrive disse på arbeidsstedets PC uten at dette må sies å være en del av de behandlinger som reguleres av blant annet Personopplysningsloven. Hva lederen har i sin hukommelse eller noterer på et ark og beholder som ren huskelapp kan fortone seg annerledes, skriver Kaspersen i en e-post til Uniforum.

– Hvorfor fortoner det seg annerledes med huskelapper?

– Situasjonen er bare at alt kan ikke reguleres, og dette kan være eksempler på det. Jeg ønsker ikke å gå nærmere inn på dette, skriver fagdirektøren.

Personopplysningsloven

* Formålet med loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.
* Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
* Loven gjelder for:
a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler,
b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister og
c) alle former for kameraovervåking, slik dette er definert i § 36 første ledd.

* Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.

Lov om behandling av personopplysninger

Støtte til direktøren

Etter at saken ble kjent har meningene vært delte om hvem det er som har gjort noe galt. Er det museumsdirektøren som har skrevet negative ting om sine ansatte, til og med uten å låse inn notatene i et skap? Eller er det personen(e) som har sneket seg inn på hennes kontor, tatt notatene og spredt dem for alle vinder?

Da Uniforum først omtalte saken, advarte hovedtillitsvalgt Belinda Eikås Skjøstad i Forskerforbundet sterkt mot å flytte skyld over på varsleren. Samtidig kritiserte hun direktørens handlinger:

– Det er svært betenkelig å føre et eget skyggearkiv over sine ansatte. Vi har meldt inn til UiO-ledelsen at det ikke er slik en leder følger opp ansatte, sa Skjøstad.

NTL-leder Ellen Dalen formulerte seg slik:

– Det er ikke et problem i seg selv at leder gjør seg notater. Men de notatene det er snakk om her burde aldri vært skrevet.

På Forskning.no har redaktør Nina Kristiansen derimot gått NHM-direktøren i møte.

I kommentaren Kan du lese sjefens notater? Kan du spre dem? skriver Kristiansen at «Det ville vært rart om ledere og andre ansatte ikke kan skrive ned hva de vil i møter og samtaler så lenge det er kun til eget bruk og hukommelsesstøtte.» 

Redaktøren slår også fast at «når det gjelder notatene som ble sendt ut, er det ikke Tone Lindheim, men notattyven som skader museets omdømme og rammer arbeidsmiljøet og sine kollegaer.»

Krav til oppbevaring

Notater av typen NHM-direktøren har hatt liggende, er å regne som personopplysninger.

Datatilsynets veileder om personvern på arbeidsplassen, sier blant annet dette om personvern på arbeidsplassen:

  • Arbeidsgivere, ansatte og tillitsvalgte må ha et bevisst forhold til hvilke opplysninger som lagres i en arbeidstakers personalmappe, til hvilke formål og hvor lenge.
  • Arbeidsgiver skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av opplysningene.
  • Tradisjonelle fysiske arkivmapper må oppbevares i låste arkivskap. Det bør videre vurderes om advarsler og lignende, samt dokumenter som inneholder følsomme helseopplysninger, skal lagres i lukkede konvolutter. Dette vil være et effektivt tiltak mot snoking.
  • Som arbeidstaker har du som krav på innsyn i alle opplysninger om deg, uavhengig av om dokumentene ligger fysisk lagret i personalmappen eller ikke. Retten til innsyn gjelder også dersom arbeidsgiver oppretter såkalte skyggearkiv eller har dobbelt bokføring.

Gjennomfører stedlige kontroller

UiO har et eget, uavhengig personvernombud, Morten Opsal. Han har ikke vært involvert i varslersaken på Naturhistorisk museum.

– Hvordan sikrer UiO at ledere på UiO er kjent med og følger reglene for personvern på arbeidsplassen?

– Det skjer gjennom den årlige internkontrollen. I tillegg gjennomfører vi stedlige kontroller der vi snakker om personopplysninger. Formålet er å bygge kompetanse, sier Opsal. 

 Det er imidlertid ikke alle enheter som får besøk hvert år.
– Nei, det rekker vi ikke, konstaterer personvernombudet.

– I saken på NHM har fagforeninger benyttet seg av begrepet «skyggearkiv». Er slike skyggearkiv et tema i stedlige kontroller?

– Vi bruker ikke det som begrep, nei.

Personvernombudet på UiO:

*
Bistår UiO med råd og veiledning i universitetets behandling av personopplysninger og påpeker eventuelle brudd på regelverket dersom dette oppdages.
* Bistår Datatilsynet i deres kontakt med UiO.
* Bistår enkeltpersoner som er registrert med personopplysninger hos UiO med å ivareta deres rettigheter.


Les mer: Personvernombud for administrative behandlinger ved UiO


Les mer om personvern på arbeidsplassen på Datatilsynets nettsider

– Snakker dere noe om hvordan personopplysninger skal oppbevares?

– Ja, det gjør vi. Men vi tar ikke for oss håndskrevne notater, sier ombudet.

Opsal understreker at han ikke kan uttale seg konkret om saken på NHM, men vurderer på generelt grunnlag at dersom håndskrevne notater ikke er bygget opp som et personregister, så faller de utenfor personopplysningsloven.

Hvor går grensen for hva en leder kan skrive med blyant?
– Det har jeg egentlig ikke noe svar på.

– Redaktør Nina Kristiansen i Forskning.no skriver i en kommentar om NHM-saken at «Det ville vært rart om ledere og andre ansatte ikke kan skrive ned hva de vil i møter og samtaler så lenge det er kun til eget bruk og hukommelsesstøtte.» Er du enig?  

– I utgangspunktet er jeg enig i det. Men hvordan det er lagret kan være et dilemma, sier personvernombudet.

Ingen obligatoriske kurs for ledere

Personaldirektør Irene Sandlie sier til Uniforum at nye ledere på UiO ikke må gjennom noen obligatorisk opplæring i håndtering av personopplysninger.

– Det finnes kurs for ledere og saksbehandlere ved UiO som spesifikt retter seg mot behandling av personopplysninger. Disse kursene er ikke obligatoriske. Videre inneholder arbeidsavtalene ved UiO en egen klausul om at ansatte har taushetsplikt i henhold til forvaltningsloven. Ansatte ledere og saksbehandlere får også informasjon om personvern og håndtering av personopplysninger på våre interne For ansatte-sider, forklarer hun.

Hvert år gjennomfører UiO en internkontroll av administrative behandlinger av personopplysninger.

Rapporten for 2016 er datert august 2017. Her konkluderes det med at «arbeidet med oppfølging av behandlinger av personopplysninger ved UiO har de senere årene gitt, og gir fortsatt tydelig positive resultater. Vi ser imidlertid at det på noen områder fortsatt foreligger et forbedringspotensial, slik som grunnleggende kunnskap og etablerte rutiner hos noen enheter.»

Områder som har forbedringspotensial, er blant annet informasjonssikkerhet og sletting, heter det i rapporten:

  • Informasjonssikkerhet: Det er fremdeles et behov for oppfølging på dette punktet. Vi ser blant annet at mange enheter ikke finner uautorisert bruk som en aktuell problemstilling.
  • Sletting: På dette punktet har det vært lite endring. Det er fremdeles mange enheter som ikke har gode nok rutiner for sletting av personopplysninger.


Tone Lindheim har ikke ønsket å uttale seg noe mer til Uniforum om saken mens den er til behandling.
 

Av Helene Lindqvist
Publisert 19. okt. 2017 14:22 - Sist endra 19. okt. 2017 15:37
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere