Overordnet styring Marked, salg & kunderelasjoner Avviksmelding Sikkerhet & beredskap Kontroll & forbedring Roller & organisering Personal & arbeidsmiljø Varsel Økonomi & innkjøp Gjennomføring & kvalitetssikring
Internkontrollportalen_Virksomhetsstyring og internkontroll_logo
Overvåking og kontroll av ansatte
Illustrasjon som viser skjæringspunktet mellom teknologisk overvåking og juridisk tilsynsplikt på arbeidsplassen. Figuren visualiserer balansen mellom arbeidsgivers styringsrett etter aksjeloven og arbeidstakerens krav på personvern og integritet i et moderne arbeidsmiljø.
Svein Roar Holt
februar 13, 2026
IKT Generelt Myndighetskrav

I et moderne arbeidsliv preget av digitalisering og flytende grenser mellom jobb og fritid, er kontrolltiltak et av de mest juridisk krevende områdene for en virksomhet. Internkontroll AS presenterer her en uttømmende gjennomgang som forener arbeidsgivers styringsrett og tilsynsplikt med de ansattes rettmessige krav på personvern og integritet.

1. Arbeidsgivers tilsynsplikt og rettslige fundament for kontroll

Kontrolltiltak er ofte ikke bare en rettighet arbeidsgiver har, men en direkte lovpålagt plikt for å sikre forsvarlig drift.

Aksjelovens krav til tilsyn og forvaltning av virksomheten

Etter Aksjeloven § 6-12 og § 6-13 har styret og daglig leder et overordnet ansvar for forvaltningen av selskapet. Dette innebærer en tilsynsplikt som krever at ledelsen fører kontroll med at virksomheten drives i samsvar med lover og vedtekter. Dette inkluderer:

  • Økonomisk kontroll: Overvåking for å forebygge misligheter, korrupsjon og økonomisk kriminalitet.
  • Operativ kontroll: Sikre at produksjonen holder avtalt kvalitet og at ressursbruk er i tråd med budsjetter.
  • Etterlevelse av styringssystem: Kontrollere at ansatte følger bedriftens instrukser. Dette er et myndighetskrav for å sikre at virksomhetens is-baserte modell faktisk fungerer som et styringsverktøy.

2. Hva defineres som overvåking av ansatte og kontrolltiltak?

Begrepet tolkes vidt og omfatter alle tiltak som har til hensikt å overvåke arbeidstakerens arbeid, adferd eller helse. Dette inkluderer:

  • Tekniske systemer: Kameraovervåking (CCTV), adgangskontrollsystemer, GPS-sporing i kjøretøy eller på mobile enheter, og logging av aktivitet i IT-systemer (Teams-status, påloggingstider, saksbehandlingshastighet).
  • Innsynstiltak: Gjennemgang av innhold i e-postkasser, tekstmeldinger på jobbtelefoner, filer på server/PC, og kalenderoppføringer.
  • Helse- og personkontroller: Rusmiddeltesting, medisinske undersøkelser (aml. Kap 9), bruk av "mystery shoppers" eller sivil overvåking ved mistanke om underslag.
  • Lydopptak: Opptak av telefonsamtaler eller lydopptak i lokaler. Dette anses som ekstremt inngripende og er som hovedregel ulovlig uten helt spesielle sikkerhetshensyn.

3. Lovens vilkår for lovlige kontrolltiltak i arbeidslivet (Skal/Må)

Arbeidsmiljøloven § 9-1 oppstiller tre kumulative vilkår som alle må være oppfylt:

  1. Saklig grunn: Tiltaket må være saklig begrunnet i virksomhetens forhold (HMS, sikkerhet, eller kontroll av produksjon iht. instrukser).
  2. Nødvendighet og forholdsmessighet: Inngrepet i personvernet skal ikke være større enn det som kreves for å oppnå formålet.
  3. Belastningsvurdering: Arbeidsgiver skal vurdere om tiltaket medfører en urimelig belastning for det psykososiale arbeidsmiljøet.

4. Produksjonsovervåking og kvalitetssikring i styringssystemet

Overvåking av de ansattes produksjon og etterlevelse av styringssystemet er en legitim del av arbeidsgivers styringsrett for å sikre myndighetskrav.

  • Kvalitetssikring: Kontroll av at arbeid utføres iht. faglig standard og vedtatte instrukser. Dette validerer at virksomhetens prosesser fungerer.
  • Måling av ytelse: Bruk av KPI-er og loggføring av saksbehandlingstid er tillatt for ressursplanlegging, men skal ikke brukes til å skape et helseskadelig tidspress.

5. Den lovpålagte prosessen og drøftingsplikt ved kontrolltiltak

Arbeidsgiver skal drøfte behovet for kontrolltiltak med de tillitsvalgte så tidlig som mulig (aml. § 9-2). Denne prosessen skal dokumenteres skriftlig i en protokoll som redegjør for:

  • Det spesifikke formålet med tiltaket.
  • De praktiske sidene ved gjennomføringen og lagring av data.
  • Hvem som skal ha innsyn i opplysningene.
  • En vurdering av personvernkonsekvenser (DPIA ved høy risiko).
  • En fastsatt dato for evaluering av tiltaket (minimum én gang årlig).

De ansatte skal informeres skriftlig før tiltaket iverksettes.

6. Avansert personvern: Innebygd personvern og sletterett for data

I tråd med GDPR stilles det i dag strengere krav til hvordan overvåkingsverktøy implementeres teknisk:

  • Innebygd personvern (Privacy by Design) ved innkjøp: Det er et lovkrav at personvern ivaretas allerede ved anskaffelse og design av nye IT-systemer. Ved innkjøp av software for overvåking eller loggføring skal arbeidsgiver velge løsninger som begrenser innsamling av personopplysninger til det strengt nødvendige ("dataminimering").
  • Retten til å bli glemt i loggsystemer: Ansatte har rett til å kreve sletting av data som ikke lenger er nødvendige for formålet. Dette gjelder ikke bare e-post, men også logger i produksjonssystemer, adgangskontroller og flåtestyring (GPS) når den spesifikke kontrollen eller saksbehandlingen er avsluttet.
  • Tillitsvalgtes rolle i DPIA: Tillitsvalgte fungerer som en kritisk kontrollinstans for at personvernkonsekvensvurderinger (DPIA) faktisk gjennomføres etter lovens bokstav ved høyrisiko-overvåking.

7. Internkontrollaspekter ved systematisk overvåking

Kontrolltiltak er en integrert del av virksomhetens internkontroll. For Internkontroll AS betyr dette at tiltakene skal være en del av det systematiske HMS-arbeidet:

  • Dokumentert etterlevelse: Internkontrollsystemet skal inneholde oversikt over alle aktive kontrolltiltak og hjemlene for disse.
  • Avvikshåndtering: Dersom kontrolltiltak avdekker brudd på instrukser, skal dette håndteres som et avvik i styringssystemet for å forbedre prosessene.
  • Sikring av bevis: Korrekt gjennomført internkontroll sikrer at data som samles inn er juridisk holdbare.

8. AMU-aspekter og deres rolle ved overvåking av ansatte

Arbeidsmiljøutvalget (AMU) har en lovpålagt rolle i overvåkingsspørsmål i virksomheter med over 30 ansatte (eller der partene har avtalt det):

  • Behandlingsplikt: AMU skal behandle planer som kan få vesentlig betydning for arbeidsmiljøet.
  • Vurdering av helserisiko: AMU skal spesielt vurdere om kontrolltiltakene medfører psykiske belastninger eller stress.
  • Rådgivende organ: AMU kan kreve at arbeidsgiver redegjør for hvordan innsamlede data brukes.

9. Spesifikke juridiske skranker for innsyn i e-post og utstyr

Rutinemessig overvåking er forbudt. Innsyn krever begrunnet mistanke om grove brudd på tjenesteplikten. Ansatt skal varsles og ha rett til å være til stede.

Hjemmekontor, BYOD og Fritid

  • Hjemmekontor: Ingen rett til overvåking i private hjem. Kameraovervåking eller skjermopptak av hjemmekontor er ulovlig.
  • BYOD (Bring Your Own Device): Innsyn er strengt begrenset til jobb-applikasjoner. Ingen rett til innsyn i private bilder eller meldinger.
  • GPS og Fritid: Sporing skal deaktiveres utenfor arbeidstid. Bruk av data fra fritiden er som hovedregel et grovt brudd på personopplysningsloven.

10. Sanksjoner ved brudd på regler for overvåking og kontroll

Datatilsynet (GDPR): Gebyr på inntil 20 mill. Euro eller 4 % av global omsetning.

Arbeidstilsynet (AML): Overtredelsesgebyr på inntil 50G eller 4 % av årsomsetningen.

Oppreisning: Ansatte kan kreve mellom 20 000 og 100 000 kroner for tort og svie.

11. Evaluering og Opphør av kontrolltiltak

Kontrolltiltak skal evalueres jevnlig. Ved opphør skal e-post slettes innen 6 måneder.

12. Nye software-typer og utfordringer for personsikkerheten

Moderne teknologi har introdusert software-kategorier som utfordrer grensene for lovlig overvåking. Som arbeidstaker bør du være oppmerksom på:

  • "Bossware" og aktivitetsmåling: Verktøy som tar automatiske skjermbilder, logger tastetrykk eller analyserer "dwell time" i ulike applikasjoner. Slik programvare representerer en høy risiko for personsikkerheten og integriteten.
  • AI-drevet adferdsanalyse: Algoritmer som forsøker å forutsi ansattes effektivitet eller risiko for oppsigelse basert på digitale spor.
  • Hvordan forholde seg som arbeidstaker: Du har rett til å kreve innsyn i hvilken software som er installert på din jobb-enhet og formålet med denne. Dersom softwaren fremstår som uforholdsmessig inngripende, bør dette tas opp via tillitsvalgt eller verneombud umiddelbart.

13. Kobling til personvernlovgivning og personvernerklæring

Det er en viktig juridisk forutsetning at alle forhold knyttet til overvåking, kontroll og tilsyn som innbefatter innhenting og lagring av personinformasjon, behandles i samsvar med personvernlovgivningen (GDPR). Dette innebærer:

  • Inkludering i personvernerklæringen: Virksomhetens personvernerklæring skal inneholde informasjon om hvilke kontrolltiltak som gjennomføres, hvilke data som samles inn, det rettslige grunnlaget for behandlingen, og hvor lenge opplysningene lagres.
  • Behandlingsprotokoll: Alle kontrolltiltak som innebærer databehandling skal føres i virksomhetens interne oversikt over behandlingsaktiviteter.
  • Gjennomsiktighet: Dersom et kontrolltiltak ikke er beskrevet i de tilgjengelige personverndokumentene til virksomheten, vil behandlingen som hovedregel anses som ulovlig mangel på gjennomsiktighet.
Share on Facebook
Share on Twitter