Undercover metoder mod medarbejdere er ikke i orden
tekst Thomas Kokholm Nielsen
Udstyret med et falsk id-kort med Nyborg Kommunes logo gik en mand ind på 4kløverskolen i Nyborg Kommunen. Det var i november 2018. Hans mission var at teste, om han kunne få medarbejdere til at udlevere personfølsomme oplysninger. Til at dokumentere det hele har han et skjult kamera i tasken.
Manden siger til skolelederen, at der er opdaget et datalæk på 4kløverskolen, og at han derfor akut er sendt af sted af kommunens it-chef for at finde kilden og stoppe lækket.
Skolelederen forsøger at få bekræftet mandens identitet hos kommunen. Imens taler manden med 4kløverskolens it-vejleder, undersøger skolens antivirusprogram og får fremvist kontorets printere.
Sådan beskriver DR Nyheder forløbet og metoden, som kommunen efterfølgende har taget afstand fra.
Forargelig metode
DR Nyheder er i besiddelse af interne mails mellem sikkerhedsfirmaet Prueba Cybersecurity og Nyborg Kommune. Korrespondancen viser, at sikkerhedsfirmaet har planlagt aktionen i tæt samarbejde med sekretariatschefen og it-chefen i kommunen.
Kommunaldirektør Lars Svenningsen forklarer, at han ikke var bekendt med, at it-chefen havde bestilt den type test af it-sikkerheden.
– Da jeg hørte om den konkrete episode, har vi stoppet samarbejdet med firmaet, og jeg tager meget afstand fra de metoder, der er blevet anvendt med skjult kamera, siger kommunaldirektør Lars Svenningsen til DR Nyheder.
Skolelederen på 4kløverskolen var sygemeldt flere uger efter episoden. I Skolelederforeningen vækker metoden forargelse.
– Det er en sag, der ryster mig meget. Det er så uetisk og umoralsk, som det overhovedet kan være. Man sætter noget i gang med skæg og blå briller ude på en skole, hvor der ikke har været nogen problemer. Jeg synes, det er løbet helt af sporet, siger skoleledernes formand, Claus Hjortdal.
Krænkelse er retsstridig
Skolelederen beskriver i en intern mail episoden som et "psykisk overgreb", og ifølge Christian Højer Schjøler, der er adjunkt ved Juridisk Institut på Syddansk Universitet og ekspert i ansættelsesret, kan undercover-aktionen være i strid med arbejdsretten.
– Det er en voldsom presset situation at blive sat i som medarbejder, at man pludselig hører om, at der er sket læk af fortrolige oplysninger. Den karakter, som foranstaltningen havde, mener jeg godt kan berettige en bod fra Arbejdsretten. I sidste ende er det et spørgsmål om, hvor langt man må gå for at sikre it-sikkerheden, siger Christian Højer Schjøler.
KL og lønmodtagerorganisationerne har indgået en kollektiv aftale, der beskriver, hvilke metoder kommunerne må anvende for at undersøge de ansattes håndtering af it-sikkerhed. Her står blandt andet at metoderne til at teste it-sikkerheden ikke må være krænkende over for medarbejderne, og at der skal være et rimeligt forhold mellem mål og midler. tkn@kl.dk