Jag vet varken om det finns en policy om, eller om det praktiskt går att porrsurfa på min arbetsgivares nätverk och det ingår inte i mina arbetsuppgifter att testa, så det har jag naturligtvis inte gjort.
Men jag blir intresserad av hur ni praktiskt löser att ni samlar in personuppgifter automatiserat? Man måste ju ha skriftligt medgivande som förvaras på lämpligt sätt. Medgivandet får ju heller inte inhämtas under något slags tvång, så att knyta villkoren till fortsatt anställning är ju högst tveksamt. Generellt behöver det ju finnas en lag som är mer specifik (lex specialis) än GDPR för att man ska slippa hantera GDPR-kraven och dess potentiella sanktion om 4% av årsomsättningen.
Om ni av säkerhetsskäl samlar in uppgifter går de antagligen att knyta till en enhet och då är kopplingen till person troligen så stark att det rör sig om personuppgifter. Om man tänker använda insamlade uppgifter i ett personalärende kommer denna diskussion som ett brev på posten… Då är det bra att inte ha implementerat något olagligt på eget bevåg. Den enklaste vägen på vanliga arbetsplatser är en policy som inte kontrolleras genom loggning - eventuellt parat med ologgade blockeringsåtgärder.
Det tekniska är ju också ett kul problem. Det är skitsvårt att hindra någon som har administrativ kontroll över sin enhet och generell tillgång till nätverket att tunnla ut (det finns mängder av varianter på det du kallar VPN och hälften ser ut som HTTPS). Om du ska ge dig på DNS-hijacking så bör du brandvägga bort kända DoH- servrar och DoT, men det är knappast idiotsäkert, bara att sätta upp en egen server hemma.
Det enda gångbara för att täppa till alla hål är att spärra allt och sedan vitlista i brandväggen. Lycka till med administrationen runt det.
Man kan göra livet lite svårare för tekniska idioter, men att tro att man hindrar någon som är porr- eller spelberoende från att missbruka är i mina ögon naivt.