Arbeidsgiver skal informere arbeidstaker om behandlingen av personopplysninger som skjer ved bruk av eID-ordninger i arbeidssammenheng. Ved innsamling av personopplysninger krever personvernforordningen art. 12-14 at behandlingsansvarlig skal gi konkret informasjon til den det er registrert opplysninger om – i dette tilfellet den ansatte. Denne informasjonen skal fremstilles på en «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk» (personvernforordningen, art. 12(1)). Det anbefales også som beste praksis at det gis mer informasjon enn det som er fastsatt i personvernforordningen art. 13 og 14. Det bør gis en kortfattet og skriftlig forklaring til ansatte om hva behandlingen av personopplysningene innebærer, i tillegg til de kravene som ligger i personvernforordningen.
Se Datatilsynets nettsider for mer informasjon om den behandlingsansvarliges informasjonsplikt under personvernforordningen.
Ved bruk av privat eID for identifikasjonsformål innebærer behandlingen av personopplysninger normalt sett en overføring av navn og fødselsnummer til og mellom de aktørene som har behandlingsgrunnlag. Dette gjelder også der eID blir brukt i arbeidssammenheng. For mer informasjon om bruk av fødselsnummer se Særlig om bruk av fødselsnummer.
eID-ordninger behandler personopplysninger som navn, fødselsnummer og eventuelt andre opplysninger slik som adresse og telefonnummer. Fødselsnummer benyttes for å opprette en entydig knytning til en person i Folkeregisteret, slik at en person kan bli unikt identifisert. Dette fjerner risikoen for identitetsforveksling.
Det er flere aktører i «eID-økosystemet» som behandler disse opplysningene, for det overordnede formål å bekrefte at du er den du utgir deg for å være. I det følgende vil de ulike aktørene og flyten for personopplysningsbehandlingen gjennomgås.
Figur: Overordnet eksempel på hvordan eID-er brukes i dag
Markedsløsningene (angitt som «Type eID» i figuren over)
Behandling av personopplysninger i forbindelse med utstedelse og bruk av eID kan variere noe mellom de forskjellige leverandørene i markedet. For hvilke eksakte opplysninger som behandles henvises det til de forskjellige leverandørenes egne brukeravtaler og personvernerklæringer.
Overordnet vil følgende personopplysninger behandles i forbindelse med eID:
Som et minimum behandles ditt unike identitetsnummer (fødselsnummer eller D-nummer), fornavn og etternavn ved utstedelse og bruk av eID. Dette gjelder både for privat og ansatt-eID.
Det varierer hvorvidt informasjon om telefonnummer og epostadresse logges ved bruk av privat eID, men informasjonen blir behandlet ved utstedelse hos alle leverandørene.
Praksis for behandling av opplysninger om nasjonalitet og språkpreferanse varierer mellom leverandørene.
Ved utstedelse og bruk av ansatt-eID behandles gjerne informasjon om virksomheten du er ansatt i, for eksempel arbeidsgivers organisasjonsnummer.
eID-leverandørene er behandlingsansvarlige for de personopplysningene som er nødvendige for å administrere sine eID-ordninger.
ID-porten
Ved autentisering og innlogging i ID-porten er Digitaliseringsdirektoratet behandlingsansvarlig. I denne forbindelse lagrer og videreformidler Digitaliseringsdirektoratet opplysninger om fødselsnummer, sikkerhetsnivå for gjennomført autentisering, språkvalg og hvilken eID som ble benyttet for autentiseringen. Disse opplysningene blir lagret i ett år. ID-porten bruker også fem forskjellige typer informasjonskapsler i forbindelse med autentisering. Disse blir automatisk slettet når du lukker nettleseren din.Digitaliseringsdirektoratet er behandlingsansvarlig for disse opplysningene. Se ID-portens bruksvilkårpunkt 2.4 og ID-portens informasjonsside om personvern og informasjonskapsler for utfyllende informasjon.
ID-porten fører en samlet logg over brukernes autentiseringer uavhengig av om det er privat bruk eller autentiseringer gjennomført i arbeidssammenheng. Opplysningene sikrer sporbarhet og notoritet for de enkelte påloggingene. I tilfelle det oppstår misbruk av eID-en vil loggen kunne bidra til å ivareta brukerens sikkerhet, ved at urettmessige innlogginger avdekkes. Opplysningene er bak innloggingsmur og er ikke tilgjengelig for arbeidsgiver. Loggen krever innlogging med eID og er derfor under brukerens kontroll.
Tjenesteeier (angitt som «Brukersteder» i figuren over)
Tjenesteeieren, det vil si de som har ansvar for den konkrete tjenesten man logger seg inn i (for eksempel skatt eller helsetjenester), er behandlingsansvarlig for opplysninger som blir utlevert fra ID-porten i forbindelse med autentisering av brukere. Tjenesteeier må også ha lovlig grunnlag for behandling av personopplysninger (personopplysningsloven §1, jf. GDPR artikkel 6), inkludert for behandling av fødselsnummer (personopplysningsloven § 12).
Oslo kommune benytter et journalsystem som driftes av Norsk Helsenett. I systemet ligger det i tilgangskontrollen at ansattX skal ha tilgang til visse ressurser. I utførelsen av sine arbeidsoppgaver er det nødvendig for ansatt X å gå inn i journalsystemet.
Oslo kommune har derfor et legitimt behov for at ansatt x skal presist og sikkert kunne autentisere seg selv.
Ansatt x autentiserer seg med en eID (enten det er en ansatt-eID eller en privat eID)
Dette medfører kall frem og tilbake til den valgte eID-leverandøren, for eksempel Commfides, Buypass eller BankID.
Kallet forteller ID-porten at: Ja, denne personen er den han utgir seg for å være.
ID-porten sender da informasjon til Norsk Helsenett om at denne personen er autentisert.
Basert på policyene i tjenesten til Norsk Helsenett blir også ansatt x autorisert til å aksessere gitte ressurser.
Rollene kan tenkes å være som følger:
Oslo kommune er behandlingsansvarlig for opplysningene om ansatt x som behandles i forbindelse med utførelsen av arbeidsoppgaven, herunder innloggingen.
Digitaliseringsdirektoratet er behandlingsansvarlig for personopplysninger som behandles i ID-porten.
eID-leverandøren er behandlingsansvarlig for personopplysninger som behandles ved bruk av deres eID.
Norsk Helsenett er databehandler for Oslo kommune for journalsystemet.
