Personellsikkerhet
Personellsikkerhet handler om å beskytte virksomheten mot risiko knyttet til mennesker, fra rekruttering til off-boarding. I denne guiden får du en grundig innføring i hva personellsikkerhet innebærer, hvilke tiltak som anbefales, hva lovverket krever, og hvordan du bygger et helhetlig system som beskytter verdiene dine.
Hva er personellsikkerhet?
Personellsikkerhet er det samlede begrepet for tiltak, handlinger og vurderinger som har til formål å hindre at personer med tilgang til en virksomhet påfører skade eller tap. Begrepet omfatter alle som har legitim tilgang; ansatte, konsulenter, leverandører, vikarer og innleid personell.
Nasjonal sikkerhetsmyndighet (NSM), som er Norges fagmyndighet på området, definerer personellsikkerhet som tiltak for å hindre at personer som kan utgjøre en sikkerhetsrisiko plasseres eller forblir i stillinger der de kan forårsake skade.
Mens definisjonen i sikkerhetsloven primært retter seg mot virksomheter som håndterer skjermingsverdige verdier, er prinsippene bak personellsikkerhet relevante for alle organisasjoner. Enhver virksomhet med ansatte har informasjon, systemer eller verdier som kan misbrukes dersom feil person får tilgang.
Personellsikkerhet er ikke et enkelttiltak, det er en helhetlig og kontinuerlig prosess som dekker tre faser:
-
Før ansettelse: Risikovurdering av stillinger, bakgrunnssjekk, sikkerhetsbasert rekruttering
-
Under ansettelse: Onboarding, oppfølging, sårbarhetssamtaler, tilgangsstyring, sikkerhetskultur
-
Etter ansettelse: Strukturert offboarding, tilbaketrekking av tilganger, bevissthetssamtaler
Hvorfor er personellsikkerhet viktig?
Norske virksomheter investerer store ressurser i digital sikkerhet og fysisk sikring, men personellsikkerhet blir ofte nedprioritert. Forsvarets forskningsinstitutt (FFI) har påpekt at det eksisterer lite norsk forskning på innsiderisiko og personellsikkerhet, til tross for at menneskelige faktorer er en av de mest kritiske sikkerhetsrisikoene.
Konsekvensene av mangelfull personellsikkerhet
Virksomheter som ikke arbeider systematisk med personellsikkerhet, eksponerer seg for en rekke risikoer:
Økonomiske tap: Underslag, svindel, tyveri av forretningskritisk informasjon eller sabotasje kan påføre store direkte kostnader. I tillegg kommer indirekte kostnader som etterforskning, juridisk bistand og gjenoppbygging.
Lekkasje av sensitiv informasjon: Bedriftshemmeligheter, kundeinformasjon, personopplysninger eller strategiske planer som havner i feil hender kan gi varig konkurranseskade.
Omdømmeskade og tap av tillit: Sikkerhetshendelser som blir offentlig kjent kan skade kundetillit, investor-relasjoner og virksomhetens markedsposisjon.
Driftsavbrudd: Sabotasje av systemer, datasystemer eller prosesser kan lamme virksomheten i kortere eller lengre perioder.
Regulatoriske brudd: Manglende etterlevelse av sikkerhetsloven, personopplysningsloven (GDPR), NIS2-direktivet eller bransjeregulering kan medføre bøter, pålegg og i ytterste konsekvens tap av konsesjoner.
Risiko er ikke statisk
Et sentralt poeng i personellsikkerhet er at risikoen knyttet til en person ikke er konstant. Livssituasjon, økonomi, relasjoner, motivasjon og ytre press endrer seg over tid. En ansatt som var lavrisiko ved ansettelse kan utvikle sårbarheter som øker risikoen betydelig. Nettopp derfor må personellsikkerhet behandles som en kontinuerlig prosess og ikke som et engangstiltak ved ansettelse.
Hvem trenger personellsikkerhet?
Kort sagt: alle virksomheter med ansatte. Personellsikkerhet er ikke forbeholdt virksomheter underlagt sikkerhetsloven eller forsvars- og justissektoren. Alle organisasjoner har verdier som kan misbrukes av personer med intern tilgang.
Virksomheter med særlig behov
Noen sektorer og virksomhetstyper har ekstra grunn til å prioritere personellsikkerhet:
- Virksomheter underlagt sikkerhetsloven: Organisasjoner som forvalter skjermingsverdige verdier av betydning for nasjonale sikkerhetsinteresser har lovpålagte krav til personellsikkerhet, inkludert sikkerhetsklarering og autorisasjon.
- Finansnæringen: Banker, forsikringsselskaper og andre finansinstitusjoner forvalter samfunnskritiske funksjoner og store økonomiske verdier. Finans Norge har utviklet egne veiledere for personellsikkerhet i bransjen.
- Kritisk infrastruktur: Energi, vann, transport, helse og telekommunikasjon er sektorer der innsidevirksomhet kan ha samfunnskritiske konsekvenser. NIS2-direktivet skjerper kravene til sikkerhet i disse sektorene ytterligere.
- Kommuner og fylkeskommuner: Offentlige virksomheter forvalter store mengder sensitiv informasjon om innbyggere og har beslutningsmyndighet som kan utnyttes. KS har vektlagt behovet for økt bevissthet om innsiderisiko i kommunal sektor.
- Teknologi og forskning: Virksomheter med betydelig immateriell eiendom, forretningshemmeligheter eller forskningsdata er attraktive mål for industrispionasje.
- Helse og omsorg: Tilgang til sensitive pasientopplysninger og kritiske systemer gjør helsesektoren sårbar for både bevisst og ubevisst innsidevirksomhet.
Personellsikkerhet og norsk lovverk
Personellsikkerhet i Norge reguleres gjennom flere lovverk som setter rammer for hvordan virksomheter kan arbeide med bakgrunnssjekk, kontrolltiltak og oppfølging av ansatte og kandidater. Hvilke regler som er mest relevante, vil variere avhengig av virksomhetens art, sektor og risikobilde.
For de fleste virksomheter er det særlig personopplysningsloven (GDPR), arbeidsmiljøloven og likestillings- og diskrimineringsloven som er sentrale. For virksomheter som håndterer skjermingsverdige eller samfunnskritiske verdier gjelder i tillegg særskilte regler om sikkerhet og beredskap.
Personopplysningsloven (GDPR)
Når virksomheter gjennomfører bakgrunnssjekk eller andre personellsikkerhetstiltak, behandles personopplysninger. Dette utløser krav etter personopplysningsloven og GDPR, herunder krav til formål, relevans, dataminimering, informasjon til kandidaten og forsvarlig håndtering av opplysninger.
I praksis innebærer dette at virksomheten må kunne begrunne hvilke opplysninger som innhentes, hvorfor de er nødvendige, og hvordan de behandles og lagres. Datatilsynet fremhever også krav til åpenhet, internkontroll og ivaretakelse av den registrertes rettigheter i rekrutteringsprosesser.
Arbeidsmiljøloven
Arbeidsmiljøloven setter rammer for arbeidsgivers adgang til å gjennomføre kontrolltiltak. Slike tiltak må ha saklig grunn i virksomhetens forhold og ikke innebære en uforholdsmessig belastning for arbeidstaker. Loven stiller også krav til informasjon og dialog knyttet til kontrolltiltak.
I ansettelsesprosesser innebærer dette blant annet begrensninger i hvilke opplysninger som kan innhentes, for eksempel når det gjelder helseopplysninger, eller andre forhold som ikke er nødvendige for stillingen.
Likestillings- og diskrimineringsloven
Likestillings- og diskrimineringsloven setter klare grenser for hvilke opplysninger som kan etterspørres i en rekrutteringsprosess. Som hovedregel kan arbeidsgiver ikke innhente opplysninger om forhold som religion, etnisitet, helse, graviditet eller familieplanlegging, med mindre det er av avgjørende betydning for stillingen.
Dette innebærer at personellsikkerhetstiltak må være tett knyttet til stillingens krav og risiko, og ikke omfatte opplysninger som faller utenfor det som er relevant for rollen.
Politiattest og vandelskontroll
Politiattest kan ikke benyttes som et generelt virkemiddel i rekrutteringsprosesser. Etter politiregisterloven kreves det særskilt hjemmel i lov eller forskrift for å kunne innhente politiattest eller gjennomføre vandelskontroll.
For de fleste virksomheter vil dette derfor ikke være aktuelt som del av en ordinær bakgrunnssjekk.
Sikkerhetsloven og tilhørende forskrifter
Virksomheter som håndterer skjermingsverdige nasjonale verdier kan være underlagt sikkerhetsloven og tilhørende forskrifter. Loven regulerer blant annet sikkerhetsklarering, adgangsklarering og autorisasjon av personell som skal ha tilgang til sikkerhetsgradert informasjon eller skjermingsverdige objekter og infrastruktur.
Det er i denne sammenheng viktig å skille mellom bakgrunnssjekk og sikkerhetsklarering, som er en myndighetsstyrt prosess med egne regler og prosedyrer.
Digitalsikkerhet og nye krav
For virksomheter med særlig betydning for samfunnet gjelder også regler om digital sikkerhet. Digitalsikkerhetsloven stiller krav til risikostyring, sikkerhetstiltak og håndtering av hendelser i virksomheter med samfunnskritiske funksjoner.
I tillegg vil EUs NIS2-direktiv på sikt kunne medføre ytterligere krav til sikkerhet og organisering, når det implementeres i norsk rett.
Som helhet innebærer dette at arbeid med personellsikkerhet må balanseres innenfor et regelverk som stiller krav til både sikkerhet, personvern og likebehandling. Tiltakene må være saklige, forholdsmessige og tilpasset den risikoen virksomheten faktisk står overfor.
Utvalgte artikler
NSMs grunnprinsipper
Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet et sett med grunnprinsipper som gir virksomheter et strukturert utgangspunkt for arbeidet med personellsikkerhet. Grunnprinsippene er tverrsektorielle, noe som betyr at de ikke er knyttet til sikkerhetsloven alene, men er relevante for alle virksomheter.
Grunnprinsippene er organisert i fire kategorier som bygger på hverandre:
1. Identifisere og kartlegge
Den første kategorien handler om å forstå virksomhetens risikobilde og etablere et grunnlag for riktige tiltak.
Foreta stillings- og oppdragsspesifikke risikovurderinger: Kartlegg hvilke stillinger og roller som har tilgang til kritiske verdier, systemer eller informasjon. Vurder risikoen knyttet til hver stilling basert på tilgangsnivå, beslutningsmyndighet og eksponeringsgrad.
Ha en sikkerhetsbasert tilnærming til rekruttering: Integrer sikkerhetsvurderinger i rekrutteringsprosessen. Dette innebærer å definere sikkerhetskrav i stillingsutlysninger, gjennomføre bakgrunnssjekk tilpasset stillingens risikonivå, og vurdere kandidatens sikkerhetsmessige egnethet som del av ansettelsesgrunnlaget.
Du kan lese mer om NSMs grunnprinsipper på NSM sine nettsider.
2. Beskytte
Kategorien omhandler tiltak som aktivt reduserer risikoen gjennom ansettelsesforholdet.
Integrer personellsikkerhet i sikkerhetsstyringen: Personellsikkerhet bør være en del av virksomhetens overordnede styringssystem for sikkerhet. Det innebærer tydelig ansvarsplassering, skriftlige rutiner, tilstrekkelige ressurser og jevnlig evaluering.
Reduser risiko under ansettelsesforhold: Implementer tiltak som tilgangsstyring etter minste privilegiums prinsipp, funksjonsatskillelse, periodisk gjennomgang av tilganger og systematisk oppfølging av personell.
Innfør et effektivt rapporteringssystem: Etabler kanaler der ansatte trygt kan rapportere avvik, bekymringer og sikkerhetshendelser. Varslingskanaler må ivareta den som melder fra.
Legg til rette for sårbarhetsoppfølging: Sørg for at ledere har verktøy og kompetanse til å identifisere og følge opp ansatte som kan befinne seg i sårbare situasjoner.
Etabler rutiner for hendelseshåndtering: Ha beredskap for å håndtere sikkerhetshendelser knyttet til personell, inkludert eskaleringsrutiner og krisehåndteringsplaner.
3. Opprettholde og oppdage
Denne kategorien fokuserer på å bevare sikkerhetseffekten over tid og fange opp endringer.
Skap en god sikkerhetskultur: Bygg en kultur der sikkerhet er en naturlig del av hverdagen. Dette handler om holdninger, bevissthet og adferd, ikke bare regler og kontrollmekanismer.
Ivareta medarbeidere gjennom tilpasset oppfølging: Følg opp ansatte med identifiserte sårbarheter, gjennomfør periodiske vurderinger og vær oppmerksom på endringer i adferd, motivasjon eller livssituasjon.
Avdekk nye sårbarheter: Ha systemer og prosesser som fanger opp nye risikoer, eksempelvis gjennom periodisk bakgrunnssjekk, medarbeidersamtaler med sikkerhetsfokus og løpende risikovurderinger.
Ivareta sikkerheten ved avvikling: Sikre at offboarding-prosessen er strukturert og at tilganger trekkes tilbake, taushetsplikten bekreftes, og at virksomhetens verdier returneres.
4. Håndtere og gjenopprette
Den siste kategorien dekker virksomhetens evne til å reagere når noe har skjedd.
Når en sikkerhetshendelse knyttet til personell inntreffer, må virksomheten ha etablerte rutiner for umiddelbar respons, etterforskning og håndtering. Dette inkluderer skadebegrensning, dokumentasjon, juridisk korrekt håndtering og tiltak for å gjenopprette normaltilstand.
Trygg og effektiv rekruttering hos DNB
For å sikre riktige ansettelser og et
solid beslutningsgrunnlag samarbeider DNB tett med Semac om bakgrunnssjekk,
digital referansesjekk og ivaretakelse av personellsikkerhet.
Tiltak før ansettelse
Effektiv personellsikkerhet starter lenge før en kandidat signerer arbeidsavtalen. I rekrutteringsfasen legges grunnlaget for å forhindre at feil person plasseres i en kritisk rolle.
Stillings- og risikovurdering
Før en stilling utlyses bør virksomheten vurdere hvilke verdier, systemer og informasjon stillingen gir tilgang til. Risikovurderingen bør ta stilling til om stillingen innebærer tilgang til sensitiv kundeinformasjon, forretningshemmeligheter eller strategisk data; om rollen har beslutningsmyndighet som kan misbrukes; om stillingen gir tilgang til økonomiske disposisjoner eller kritisk infrastruktur; og om det er andre forhold, som reisetilknytning til høyrisikoland, som påvirker risikobildet.
Resultatet av risikovurderingen avgjør hvilke personellsikkerhetstiltak som er nødvendige.
Sikkerhetsbasert rekruttering
Sikkerhetskrav bør fremgå tydelig allerede i stillingsutlysningen. Dersom stillingen krever bakgrunnssjekk, sikkerhetsmessig egnethet eller andre kontrollerende tiltak, bør kandidatene informeres om dette på forhånd. Åpenhet om prosessen styrker tilliten og bidrar til at kandidater med noe å skjule velger å ikke søke.
Bakgrunnssjekk
Bakgrunnssjekk er et av de mest konkrete tiltakene innenfor personellsikkerhet, og bør tilpasses stillingens risikonivå. En bakgrunnssjekk kan omfatte verifisering av identitet, utdanning og arbeidserfaring; kontroll av strafferegister, nærings- og eierinteresser og relevante offentlige registre; kredittsjekk for stillinger med økonomisk ansvar, samt sjekk av sanksjons- og PEP-lister. Der det er hjemmel i lov, kan politiattest innhentes.
Bakgrunnssjekken skal gjennomføres på en åpen og transparent måte, der kandidaten er godt involvert om hva som kontrolleres og hvorfor. Kandidaten skal i forkant informeres og gi skriftlig fullmakt til at opplysninger både kan innhentes og behandles.
Referansesjekk
En grundig referansesjekk gir innsikt i kandidatens faktiske prestasjoner, adferd og samarbeidsevner fra tidligere arbeidsforhold. Digital referansesjekk kan gi et bredere og mer objektivt bilde enn tradisjonelle telefonsamtaler, fordi referansene kan besvare strukturerte spørsmål uten tidspress.
Les mer om digital referansesjekk fra Semac her!
Sikkerhets- og sårbarhetsvurdering
En sikkerhets- og sårbarhetsvurdering gir virksomheten mulighet til å identifisere forhold ved kandidaten som, i kombinasjon med stillingens innhold, kan utgjøre en potensiell risiko. Dette handler ikke om fordommer eller mistenkeliggjøring, men om å gjøre en faglig vurdering av kandidatens helhetssituasjon i lys av den tillit og tilgang stillingen gir.
Mennesker kan, bevisst eller ubevisst, bli sårbare for påvirkning, særlig i perioder med økonomiske problemer, livskriser eller gjennom bindinger til miljøer som kan ha interesse av å få innflytelse i virksomheten. Jo mer kritisk eller sensitiv en stilling er, desto viktigere er det å ha oversikt over slike faktorer i forkant av ansettelsen.
Tiltak under ansettelse
Personellsikkerhet stopper ikke ved signert arbeidsavtale. Den mest kritiske fasen er ofte under selve ansettelsesforholdet, der den ansatte har tilgang til virksomhetens verdier over tid.
Strukturert onboarding
De første ukene og månedene i en ny stilling er avgjørende for å etablere riktige holdninger til sikkerhet. En god onboarding inkluderer gjennomgang av virksomhetens sikkerhetsrutiner og retningslinjer, signering av taushetserklæring og etiske retningslinjer, opplæring i tilgangsstyring og informasjonshåndtering, og introduksjon til varslingskanaler og rapporteringsrutiner.
Tilgangsstyring
Prinsippet om minste privilegium er grunnleggende: ansatte skal kun ha tilgang til informasjon og systemer som er nødvendige for å utføre jobben sin. Tilganger bør gjennomgås jevnlig, særlig ved rolleendringer, og det bør finnes tydelige rutiner for tildeling og tilbaketrekking.
Beredskap
Uansett hvor gode sikkerhetstiltak du har, kan det oppstå situasjoner der en insider avsløres, eller andre hendelser truer virksomhetens verdier. En gjennomtenkt beredskapsplan sikrer at virksomheten reagerer raskt, riktig og kontrollert, for å begrense skade, beskytte bevis og ivareta både bedriftens og de ansattes interesser.
Å handle rasjonelt og følge faste prosedyrer i en krisesituasjon er avgjørende for å unngå forverring av situasjonen. God beredskap bidrar også til å skape trygghet og tillit internt, og legger grunnlaget for effektiv kommunikasjon, både internt og eksternt.
Løpende sikkerhets- og sårbarhetsoppfølging
Ledere bør ha verktøy og kompetanse til å gjennomføre oppfølging av ansatte med hensyn til sikkerhetsmessige forhold. Sårbarhetssamtaler er et etablert verktøy for å identifisere og håndtere situasjoner som kan øke risikoen, eksempelvis økonomiske problemer, relasjonskonflikter, rusmisbruk eller ekstern påvirkning.
NSM anbefaler at slike samtaler gjennomføres etter myndighetenes standarder og med respekt for den enkeltes personvern og verdighet.
Periodisk bakgrunnssjekk
En bakgrunnssjekk gjennomført ved ansettelse gir et øyeblikksbilde av kandidatens situasjon på det aktuelle tidspunktet. Over tid kan imidlertid både livssituasjon, ansvar og risikoprofil endre seg, noe som kan påvirke den ansattes egnethet i rollen.
For stillinger med høyere risiko eller særlig ansvar kan det derfor være hensiktsmessig å gjennomføre periodiske bakgrunnssjekker. Slike vurderinger bør tilpasses stillingens karakter og risikonivå, og ha fokus på oppdatert og relevant informasjon. Dette kan for eksempel inkludere oppdaterte søk i åpne kilder og registre, vurdering av økonomiske forhold der dette er relevant, samt gjennomgang av verv, eierskap og næringsinteresser som kan ha betydning for habilitet eller interessekonflikter.
Formålet er ikke å kontrollere ansatte utover det som er nødvendig, men å sikre at virksomheten over tid har et oppdatert og korrekt risikobilde. Tiltakene må derfor være forholdsmessige, godt begrunnet og knyttet til den konkrete rollen.
Les mer: Slik bygger du en robust og ansvarlig bakgrunnssjekkprosess.
Sikkerhetsopplæring og bevissthetstrening
Ansatte er virksomhetens viktigste forsvarslinje, men også en potensiell sårbarhet dersom sikkerhet ikke er tilstrekkelig forankret i organisasjonen. Bevissthet rundt risiko og riktige handlingsvalg utvikles over tid, og krever kontinuerlig oppfølging.
Sikkerhetsopplæring og bevissthetstrening bør derfor være en integrert del av virksomhetens arbeid med personellsikkerhet. Tiltakene bør være praktisk rettet og knyttet til den ansattes arbeidshverdag, og kan omfatte temaer som sikker håndtering av informasjon, tilgangskontroll, phishing og sosial manipulering.
Formålet er å gjøre ansatte i stand til å gjenkjenne situasjoner som kan innebære risiko, og handle riktig når noe fremstår som uvanlig eller uklart. Regelmessige påminnelser, korte faglige innslag og konkrete eksempler fra reelle hendelser bidrar til å gjøre sikkerhetsarbeidet relevant og forståelig.
Over tid bidrar dette til å bygge en sikkerhetskultur der ansatte er oppmerksomme, stiller spørsmål og tar ansvar, noe som er avgjørende for virksomhetens samlede motstandskraft
Effektive varslingsrutiner
Virksomheter bør ha trygge og tilgjengelige varslingskanaler der ansatte kan melde fra om bekymringer, avvik og potensielle sikkerhetshendelser. Et godt varslingssystem er både et lovkrav og et av de mest effektive verktøyene for å avdekke innsidevirksomhet tidlig.
Ønsker du trender og relevant informasjon rett i innboksen?
Vi er stolte av å kunne tilby et lærerikt og nyttig nyhetsbrev til alle som måtte ønske dette! Vi dekker alt fra relevante tips om rekruttering, sikkerhet og trender i markedet, samt faginformasjon og invitasjoner til eventer!Tiltak ved avslutning
Avslutning av et arbeidsforhold er en kritisk fase som innebærer forhøyet risiko. Den ansatte har fortsatt tilgang, men motivasjonen for å beskytte virksomhetens verdier kan være svekket, særlig ved ufrivillig avgang.
Strukturert offboarding er vel så viktig som onboarding
En kontrollert offboarding-prosess bør inkludere umiddelbar tilbaketrekking av systemtilganger, adgangskort og utstyr ved siste arbeidsdag; sikring av at virksomhetens dokumenter, data og eiendeler returneres; bekreftelse av taushetsplikt og eventuelle konkurranseklausuler; og gjennomgang av hvilken informasjon den ansatte har hatt tilgang til.
Bevissthetssamtaler ved avslutning
En strukturert samtale ved avslutning tjener flere formål: den minner den ansatte om taushetsplikt og forpliktelser, den gir mulighet til å identifisere restrisiko, og den bidrar til en profesjonell og verdig avslutning som reduserer risikoen for hevnmotivert adferd.
Håndtering av restrisiko
Etter at en ansatt har sluttet, kan det være informasjon, kontakter eller kunnskap som fortsatt utgjør en risiko for virksomheten. Virksomheten bør vurdere om det er behov for overvåkning av spesifikke systemer, varsling av samarbeidspartnere, eller andre tiltak for å redusere eksponering.
Innsiderisiko
Innsiderisiko er en av de mest alvorlige sikkerhetstruslene en virksomhet kan stå overfor. Til forskjell fra eksterne trusler har en innsider allerede passert virksomhetens ytre barrierer da de har tilgang, de kjenner systemene, og de vet hvor de verdifulle eiendelene befinner seg.
Hva er innsidevirksomhet?
Innsidevirksomhet er handlinger utført av en person med legitim tilgang som påfører virksomheten skade eller tap. NSM skiller mellom to hovedtyper:
- Bevisst innsidevirksomhet: Den ansatte handler med overlegg, motivert av personlig vinning, ideologisk overbevisning, hevn, eller etter påvirkning fra en ekstern aktør (fremmede etterretningstjenester, konkurrenter, kriminelle aktører).
- Ubevisst innsidevirksomhet: Den ansatte utgjør en trussel uten å ha til hensikt å skade, gjennom uaktsomhet, manglende sikkerhetsbevissthet, eller ved å bli utnyttet gjennom sosial manipulasjon.
Risikofaktorer og sårbarhetsindikatorer
Forskning og erfaring viser at visse faktorer kan øke risikoen for innsidevirksomhet. Disse inkluderer alvorlige økonomiske problemer eller gjeldsproblematikk, uløste konflikter med arbeidsgiver eller kolleger, følelse av å bli forbigått eller urettferdig behandlet, tilknytning til risikoland eller kontakt med fremmede etterretningstjenester, rusmisbruk eller andre personlige utfordringer, og tilgang til verdier som er langt større enn det tilsynet rettferdiggjør.
Det er viktig å understreke at disse faktorene er indikatorer, ikke bevis. De bør lede til oppfølging og samtale, ikke til mistenkeliggjøring.
Forebygging av innsiderisiko
Et effektivt program for å forebygge innsiderisiko kombinerer flere tiltak: grundig bakgrunnssjekk ved ansettelse og periodisk gjennom ansettelsesforholdet, tilgangsstyring etter minste privilegiums prinsipp, løpende sårbarhetsoppfølging og medarbeidersamtaler med sikkerhetsfokus, en sterk sikkerhetskultur der avvik fanges opp tidlig, trygge varslingskanaler og lavterskel rapportering, samt bevissthetstrening som gjør ansatte i stand til å gjenkjenne forsøk på rekruttering eller manipulasjon.
Innsidere: Den skjulte nøkkelen i økonomisk kriminalitet
Budskapet fra FIU er tydelig: Trusselen er reell. Spørsmålet er ikke om virksomheter kan bli utsatt, men hvor godt forberedt de er.Grunnleggende forutsetninger for god personellsikkerhet
Effektive tiltak innen personellsikkerhet forutsetter et tydelig fundament. Uten en felles forståelse av hva som skal beskyttes, hvordan sikkerhet praktiseres i hverdagen, og hvordan ansatte følges opp, vil tiltakene i praksis få begrenset effekt.
Tre forhold er særlig avgjørende: verdiforståelse, sikkerhetskultur og personellivaretakelse.
Verdiforståelse
Personellsikkerhet tar utgangspunkt i hva virksomheten faktisk skal beskytte. Det er sjelden hensiktsmessig å sikre alle verdier likt. En tydelig prioritering gjør det mulig å målrette innsatsen og etablere tiltak der risikoen er størst.
Virksomheter bør derfor ha en bevisst forståelse av hvilke verdier som er mest kritiske. Dette kan være informasjon, teknologi, nøkkelpersoner, forretningsprosesser, kunderelasjoner eller økonomiske ressurser. Når dette er tydelig definert, blir det enklere å vurdere hvilke roller som innebærer høy risiko, og hvilke krav som bør stilles til personellsikkerhet.
En klar verdiforståelse bidrar til bedre beslutninger, riktigere prioriteringer og mer målrettede sikkerhetstiltak.
Sikkerhetskultur
Sikkerhet handler i stor grad om menneskelig adferd. De fleste uønskede hendelser oppstår ikke fordi rutiner mangler, men fordi de ikke etterleves eller forstås.
En god sikkerhetskultur innebærer at ansatte:
- forstår hvorfor sikkerhetstiltak er etablert
- opplever dem som relevante for egen arbeidshverdag
- handler bevisst når situasjoner oppstår
Sikkerhetskultur utvikles over tid og må forankres i ledelsen. Når sikkerhet integreres i mål, beslutninger og daglig praksis, blir det en naturlig del av virksomhetens drift.
En sterk sikkerhetskultur reduserer risiko, styrker etterlevelse og gjør virksomheten mer robust i møte med både interne og eksterne trusler.
Regelmessig trening og øvelser er avgjørende for å opprettholde en god sikkerhetskultur. Dette kan inkludere scenariobaserte øvelser knyttet til innsiderisiko, fysiske inntrengningstester som tester ansattes årvåkenhet, e-læring og workshops om informasjonssikkerhet, og simulerte phishing-angrep og sosial manipulasjon.
Personellivaretakelse
Personellsikkerhet handler ikke bare om kontroll og tiltak, men også om relasjoner, tillit og oppfølging over tid.
Ansatte som opplever forutsigbarhet, støtte og god dialog med arbeidsgiver, er generelt mindre sårbare for påvirkning og mer bevisste i egne valg. Samtidig gir god oppfølging bedre forutsetninger for å fange opp endringer som kan påvirke risiko, enten det gjelder arbeidssituasjon, belastning eller andre forhold.
Personellivaretakelse innebærer blant annet:
- jevnlig dialog mellom leder og medarbeider
- oppfølging ved endringer i rolle eller ansvar
- et arbeidsmiljø preget av åpenhet og tillit
Formålet er å sikre både trivsel, lojalitet og motstandskraft, noe som er en sentral del av virksomhetens samlede sikkerhetsnivå.
Samlet utgjør verdiforståelse, sikkerhetskultur og personellivaretakelse grunnlaget for et effektivt arbeid med personellsikkerhet.
Hva er kritiske stillinger og hvordan identifisere dem?
Ikke alle stillinger i en virksomhet innebærer samme risiko. Noen roller gir tilgang til verdier, systemer, informasjon eller beslutninger som gjør at konsekvensene kan bli betydelige dersom tilgangen misbrukes, enten bevisst eller ubevisst. Slike roller bør vurderes som kritiske stillinger.
En kritisk stilling er ikke nødvendigvis en lederstilling. Også fagroller, støttefunksjoner og tekniske stillinger kan være kritiske dersom de gir bred systemtilgang, håndtering av sensitive opplysninger, økonomiske fullmakter eller mulighet til å påvirke sentrale beslutninger og prosesser.
Identifisering av kritiske stillinger bør ta utgangspunkt i en konkret risikovurdering av rollen. Dette innebærer å vurdere hvilken tilgang stillingen gir, hvilke verdier som eksponeres, og hvilke konsekvenser feil, misbruk eller påvirkning kan få. For noen virksomheter vil også forhold som tilknytning til leverandører, kunder eller eksterne samarbeidspartnere være relevant å vurdere.
Formålet er ikke å kategorisere enkeltpersoner, men heller å skape et grunnlag for riktige og forholdsmessige tiltak. Når virksomheten har oversikt over hvilke stillinger som er kritiske, blir det enklere å tilpasse krav til bakgrunnssjekk, oppfølging, tilgangsstyring og øvrige personellsikkerhetstiltak.
Å identifisere kritiske stillinger er dermed et sentralt steg i en risikobasert tilnærming til personellsikkerhet, og legger grunnlaget for et mer målrettet og effektivt sikkerhetsarbeid
Hva er kritiske stillinger og hvordan identifisere dem?
Å etablere et helhetlig arbeid med personellsikkerhet kan oppleves omfattende, men det viktigste er å starte strukturert og risikobasert. Nedenfor er en praktisk tilnærming som kan tilpasses virksomhetens størrelse og risikobilde:
-
Kartlegg virksomhetens verdier
Start med å identifisere hva som faktisk skal beskyttes. Dette kan være informasjon, systemer, nøkkelpersoner, relasjoner eller økonomiske verdier. En tydelig verdiforståelse er grunnlaget for alle videre vurderinger. -
Gjennomfør en risikovurdering
Vurder hvilke roller og funksjoner som har tilgang til de mest kritiske verdiene. Hva er konsekvensen dersom denne tilgangen misbrukes – bevisst eller ubevisst? Dette gir grunnlag for å prioritere riktige personellsikkerhetstiltak. -
Etabler grunnleggende tiltak
Ta utgangspunkt i de mest sentrale risikoområdene og implementer konkrete tiltak, som bakgrunnssjekk ved ansettelse, tydelige taushets- og lojalitetsforpliktelser, løpende sikkerhets- og sårbarhetsoppfølging, strukturert onboarding og klare rutiner for avslutning av arbeidsforhold. -
Forankre arbeidet i kultur og praksis
Personellsikkerhet handler ikke bare om tiltak, men om etterlevelse i hverdagen. Sørg for at krav og forventninger er forstått, og at sikkerhet er en naturlig del av virksomhetens styring, ledelse og kultur. -
Følg opp og evaluer løpende
Gjennomgå tiltakene jevnlig og vurder om de fortsatt er tilpasset virksomhetens risiko. Endringer i organisasjon, teknologi eller marked vil påvirke risikobildet over tid. -
Vurder behov for kompetanse og støtte
Personellsikkerhet er et spesialisert fagområde. Mange virksomheter vil ha behov for støtte til å etablere struktur, gjennomføre vurderinger eller sikre etterlevelse i praksis.
Slik kommer du i gang med personellsikkerhet
Å etablere et helhetlig arbeid med personellsikkerhet kan oppleves omfattende, men det viktigste er å starte strukturert og risikobasert. Nedenfor er en praktisk tilnærming som kan tilpasses virksomhetens størrelse og risikobilde.
Steg 1: Kartlegg virksomhetens verdier
Start med å identifisere hva som faktisk skal beskyttes. Dette kan være informasjon, systemer, nøkkelpersoner, relasjoner eller økonomiske verdier. En tydelig verdiforståelse er grunnlaget for alle videre vurderinger.
Steg 2: Gjennomfør en risikovurdering
Vurder hvilke roller og funksjoner som har tilgang til de mest kritiske verdiene. Hva er konsekvensen dersom denne tilgangen misbrukes, bevisst eller ubevisst? Dette gir grunnlag for å prioritere riktige personellsikkerhetstiltak.
Steg 3: Etabler grunnleggende tiltak
Ta utgangspunkt i de mest sentrale risikoområdene og implementer konkrete tiltak, som bakgrunnssjekk ved ansettelse, tydelige taushets- og lojalitetsforpliktelser, løpende sikkerhets- og sårbarhetsoppfølging, strukturert onboarding og klare rutiner for avslutning av arbeidsforhold.
Steg 4: Forankre arbeidet i kultur og praksis
Personellsikkerhet handler ikke bare om tiltak, men om etterlevelse i hverdagen. Sørg for at krav og forventninger er forstått, og at sikkerhet er en naturlig del av virksomhetens styring, ledelse og kultur.
Steg 5: Følg opp og evaluer løpende
Gjennomgå tiltakene jevnlig og vurder om de fortsatt er tilpasset virksomhetens risiko. Endringer i organisasjon, teknologi eller marked vil påvirke risikobildet over tid.
Steg 6: Vurder behov for kompetanse og støtte
Personellsikkerhet er et spesialisert fagområde. Mange virksomheter vil ha behov for støtte til å etablere struktur, gjennomføre vurderinger eller sikre etterlevelse i praksis.
Trenger du hjelp med personellsikkerhet?
Ønsker du en vurdering av hvor godt deres praksis er tilpasset risiko og regelverk, kan Semac bistå med en uforpliktende gjennomgang.Ofte stilte spørsmål
Samtalen gjennomføres på en profesjonell og tillitsbasert måte, med fokus på både sikkerhet og ivaretakelse av den ansatte. Den kan gjennomføres av nærmeste leder som del av løpende oppfølging, men også settes ut til eksterne fagmiljøer ved behov for en mer strukturert eller uavhengig vurdering
Grunnleggende verifisering, som bekreftelse av identitet, utdanning og arbeidserfaring, er relevant i de fleste ansettelser. For stillinger med høyere risiko kan det i tillegg være aktuelt med mer omfattende kontroller, som vurdering av økonomiske forhold, verv og næringsinteresser.
Tiltak som kredittsjekk og politiattest krever særskilt vurdering og må ha grunnlag i gjeldende regelverk. Bakgrunnssjekken bør alltid være saklig, forholdsmessig og knyttet til den konkrete rollen.