God personellsikkerhet oppnås med et bevisst forhold til sikkerhetskultur i egen organisasjon, vurdering av hva som er verdifull og kritisk informasjon, hvem som skal ha tilgang til denne informasjonen i egen organisasjon, bevissthet om sikkerhet i leverandørkjeder og fokus på krav til sikkerhet ved ansettelser.
Sikkerhetsloven § 1-3 åpner for at «Et departement skal innenfor sitt ansvarsområde fatte vedtak om at loven helt eller delvis skal gjelde for virksomheter som ….». Helse- og omsorgsdepartementet er sektormyndighet for vannforsyning og vurderer fortløpende hvilke vannverk som utfra lovens formål skal underlegges sikkerhetsloven.
I vurderingen er det lagt til grunn at nasjonale sikkerhetsinteresser må være truet for at vannverk skal være omfattet av loven. Følgelig er, med noen få unntak, norske vannverk ikke direkte underlagt sikkerhetsloven etter utpeking eller pålegg.
Det gir føringer for arbeidet med personellsikkerhet.
Klareringsmyndighet
Virksomheter som er underlagt sikkerhetsloven har mulighet til å be om klarering fra sivil klareringsmyndighet. Utfra dette gjennomføres det en autorisasjonssamtale og man blir autorisert. En autorisering gir tilgang til sikkerhetsgradert informasjon og adgang til skjermingsverdige objekter og infrastruktur. Tilgangen skal begrenses til behovet som stillingen krever. Det betyr at autoriseringen kun gjelder den informasjonen som du har tjenstlige behov for å kjenne til.
Klarering fra sivil klareringsmyndighet kan kun benyttes for virksomheter underlagt sikkerhetsloven. Det er ikke opprettet alternativ klareringsmyndighet for andre sektorer. Følgelig må vann- og avløpssektoren benytte de mulighetene som ligger i annet regelverk i sitt arbeid med personellsikkerhet.
Oppfølging av personellsikkerhet for virksomhetene som ikke er underlagt sikkerhetsloven
God personellsikkerhet oppnås med et bevisst forhold til sikkerhetskultur i egen organisasjon, vurdering av hva som er verdifull og kritisk informasjon, hvem som skal ha tilgang til denne informasjonen i egen organisasjon, bevissthet om sikkerhet i leverandørkjeder og fokus på krav til sikkerhet ved ansettelser.
Veiledning
Næringslivets sikkerhetsråd (NSR) sin enkle veileder om personellsikkerhet er et godt sted å starte, og deretter kan du lese de mer omfattende veiledningene fra andre aktører:
- Næringslivets sikkerhetsråd: En kort veileder om personellsikkerhet
- Næringslivets sikkerhetsråd: Veiledning i sårbarhetssamtaler
- NSM – Nasjonal sikkerhetsmyndighet
- NSM – Nasjonal sikkerhetsmyndighet: Personellsikkerhet
- Norges vassdrags- og energidirektorat: Veileder innen personellsikkerhet
- Norsk Vann-rapport 213/2015 Sikkerhetsstyring for vannbransjen
Nedenfor er det pekt på noen viktige forhold som inngår i arbeidet med personellsikkerhet, men omtalen er ikke uttømmende:
- Sårbarhetssamtale (bevisstgjøring og tillit)
- Arbeidsgivers styringsrett
- Begrensning av den enkeltes tilgang. Må begrunnes i risikovurderinger av informasjonen og grunnlag for tjenstlige behov. De relevante ansatte må følges opp med en samtale
Misbrukes tilliten i ansettelsesforholdet av arbeidstager, gir dette grunnlag for arbeidsgiver til å følge opp med tiltak. Men det forutsetter at det er tydelig kommunisert hva som forventes av arbeidstager og at arbeidstager er bevisstgjort sitt ansvar. Grunnlaget legges gjennom sårbarhetssamtaler.
Næringslivets sikkerhetsråd har utarbeidet en veiledning for gjennomføring av slike samtaler. Slike samtaler må settes inn i en helhetlig kontekst for å skape nødvendig tillit mellom leder og ansatt. Denne typen samtaler kan være krevende, og det er også begrensninger i hvor langt arbeidsgiver kan gå i å stille spørsmål knyttet til informasjon om private forhold. Søk derfor støtte hos HR-avdelingen eller sikkerhetsansvarlig i egen kommune/ virksomhet om du er usikker på rammene for samtalen.
Arbeidsgivers styringsrett gir rett til å regulere hvilken informasjon den ansatte skal ha tilgang til utfra behovet som stilling og arbeidsoppgaver gir (tjenstlige behov). Dette forutsetter at det foreligger en vurdering av behovet.
Ved ansettelser eller endring av stillingsbeskrivelser, må krav til sikkerhet legges inn i stillingsbeskrivelsen. Det gir klarhet i forventninger og krav til stillingen, noe som forenkler ansettelse og videre oppfølging. Men det forutsetter altså at det er gjort en vurdering av krav til sikkerhet for arbeidsoppgavene i stillingen, og vurderingen skal foreligge skriftlig.
Dette er et svært viktig punkt. Ansatte må settes i stand til å gjenkjenne situasjoner og hendelser som umiddelbart eller på sikt kan medføre en sikkerhetsrisiko. Det kan være digitale hendelser, personer som tar kontakt, spredning av informasjon knyttet til ordinære arbeidsoppgaver (innkjøp, håndtering av kartverk m. v.) eller private hendelser som gjør deg utsatt for press.
For å skape riktig adferd hos medarbeiderne må det bygges opp en god sikkerhetskultur og forståelse av hvilke verdier som skal beskyttes. Informasjon og opplæring er her sentralt. Å bygge opp en god sikkerhetskultur er et kontinuerlig arbeid, og må inngå i det ordinære arbeidet med å skape et godt arbeidsmiljø. Ha fokus på temaet i fellesmøter, lag egne sikkerhetsdager, ta det inn i opplæring og ordinær ledelse.
For å dokumentere de ulike vurderingene som er beskrevet over, og sikre at informasjonen om egne ansatte håndteres i tråd med personvernregelverket, må det etableres rutiner og systemer for dokumentasjon.
Her vil det være naturlig å støtte seg på HR-avdelingen.
- Stenge for besøkende på anlegg
- Adgangskontroll entreprenører og andre
- Tilgang til digitale systemer
- Tilgang til kartverk
- Informasjon ved anskaffelser
- Egne ansatte (omtalt ovenfor)
Som beskrevet over, forutsetter dette en vurdering av hvilken verdi informasjon har og utfra det hvem som kan få tilgang til hvilken informasjon. Med informasjon forstås også tilgang til anlegg.
Hva er utfordringene i dag
Veiledninger knyttet til dette arbeidet, som for eksempel NSM sine «Grunnprinsipper for personellsikkerhet», sier noe om hva og hvorfor, men i mindre grad hvordan. Dermed er det krevende å etablere gode rutinebeskrivelser og gode systemer.
Sårbarhetssamtaler krever erfaring. Det er ulike maler og verktøy tilgjengelig på nett, men oppfattes som vanskelig å benytte uten å ha støtte fra personer med erfaring på området.
Er virksomheten ikke underlagt sikkerhetsloven, er det ikke adgang til å få en klarering av sine ansatte. Bakgrunnssjekk som tilbys fra ulike aktører gir kun informasjon fra åpne kilder.
Forhold som ligger utenfor jobben og ansettelsesforholdet vil det være vanskelig å ta hensyn til. Økonomi, bruk av rusmidler m. v. er det ikke adgang til å kreve informasjon om i samtaler med de ansatte.
Ansatte eller søkere fra utlandet vil det være svært vanskelig å innhente informasjon om når man ikke har tilgang til en klareringsmyndighet. Spørsmål om diskriminering vil raskt kunne oppstå hvis man ikke gir gode begrunnelser for sine valg, og at det er gjort grundige vurderinger av sikkerhet knyttet til stilling og arbeidsoppgaver. I praksis vil avvisning av søknader m. v. i hovedsak begrenses til de nasjoner som i nasjonale sikkerhetsvurderinger (PST, NSM) er vurdert til å utgjøre en risiko.
Videre arbeid
Matlovens § 8, 3. og 4. ledd åpner for mulighet for å kreve autorisasjon, politiattest, utvidet politiattest og bostedkrav til ansatte innen vannforsyning. Imidlertid krever det utarbeidelse av en forskrift som detaljerer disse kravene. Helse- og omsorgsdepartementet skal igangsette arbeidet med en slik forskrift. Men dette vil kun gjelde de som har tjenstlige behov for å ha tilgang til informasjon med en gitt verdi. Følgelig må arbeidet med å kartlegge egen informasjon gjennomføres.
Mange andre bransjer som ikke er underlagt sikkerhetsloven står midt oppe i de samme utfordringene. Følgelig er det mulig å trekke på erfaringer fra disse bransjene, og tilpasse det til vannbransjen. Norsk Vann og andre større kommuner vil se nærmere på hva som er aktuelt for vannbransjen.
Samtidig bør det også tas en mer grunnleggende diskusjon om det er ønskelig å lage et regelsett for samfunnskritisk infrastruktur som ikke er underlagt sikkerhetsloven, slik at ikke hver bransje selv må finne sin løsning. Herunder om sivil klareringsmyndighet kan få et utvidet oppdrag, slik at kritisk infrastruktur som ikke er underlagt sikkerhetsloven kan ha tilgang til en klareringsmyndighet. Særlig interessant er dette ved bruk av utenlandske leverandører. Politiattest gjelder kun forhold i Norge, og vil ikke gi en tilstrekkelig kontroll av utenlandske leverandører.
Start i dag
Ved å utnytte de mulighetene som ligger i dagens regelverk som arbeidsgiver, iverksette verdivurdering av virksomhetens informasjon, og arbeide videre med en sikkerhetskultur i organisasjonen, vil man komme langt.
Start med det mest åpenbare; ha løpende dialog med dine ansatte og skap en forståelse for hvorfor sikkerhet er viktig!
Hva med å lage din egen sikkerhetsuke som også kan kombineres med HMS?