Innledning
Digital samhandling krever at vi på en trygg måte kan bevise hvem vi er på nett og at andre skal ha tillit til det elektroniske identitetsbeviset (eID-en). På samme måte som arbeidstakere tidvis må bevise hvem de er på jobben ved hjelp av mer tradisjonelle identitetsbevis, kan det være et behov for at man identifiserer seg digitalt.
Formål
Formålet med veilederen er at arbeidsgivere og arbeidstakere skal ha tilgang til oversiktlig informasjon om bruk av eID i offentlig forvaltning. De skal oppleve forholdene rundt bruk av eID i arbeidsforhold som forståelige, og ha tilgang til retningslinjer for de konkrete vurderingene som må foretas. På sikt er det ønskelig å oppnå en mer ensartet praksis og harmonisert forståelse av de arbeidsrettslige og personvernsrettslige spørsmålene bruk av eID reiser.
I forbindelse med arbeidet med ny strategi for eID i offentlig sektor er det gjennomført behovsanalyser som blant annet omhandler bruk av eID i arbeidsforhold. Behovsanalysene viser at noen brukere reagerer på at de må benytte sin egen private eID og mobiltelefon for å kunne autentisere og logge seg inn i jobbsammenheng, og viser til at det er prinsipielt utfordrende om ansatte selv må bære kostnadene for å kunne utføre arbeidet sitt, slik som gjerne forutsettes ved bruk av egen mobiltelefon eller annet utstyr eid av arbeidstakeren.
Det oppleves også utfordringer knyttet til signering av avtaler i forbindelse med tjeneste- og varekjøp i offentlig sektor. I dag gjennomfører enkelte ansatte i offentlig sektor signering av avtaler med privat eID, altså som privatperson, uten at det er en direkte knytning til rollen den offentlige ansatte har i virksomheten.
I andre sammenhenger har det vært stilt spørsmål om bruk av privat eID innebærer en økt risiko for den ansatte som privatperson. For eksempel om den ansatte er personlig ansvarlig ved tap av privat utstyr, eller dersom eID-en blir utsatt for misbruk. Det er også et spørsmål om personopplysningsbehandlingen, herunder hvilke opplysninger som behandles og av hvem.
Omfang og avgrensninger
Veilederen gjelder for offentlig ansatte og arbeidsgivere, men kan også ha relevans for privat næringsliv. Veilederen har fokus på eID-ordninger til fysiske personer, som er selvdeklarert på sikkerhetsnivå betydelig eller høyt. Det vil si MinID, og markedsløsningene Buypass, Commfides og BankID. I en fellesbetegnelse vil begrepet «privat eID» benyttes om disse ordningene, med mindre annet er spesifisert. Markedsløsningene tilbyr også særskilte ansatte-løsninger for eID, heretter benevnt «ansatt-eID».
Veilederen vil også svare på spørsmål om elektronisk signatur. I mange tilfeller blir vurderingen av sertifikatbaserte eID-ordninger og elektroniske signaturer sammenfallende, ettersom de begge benytter en eID på nivå betydelig eller høyt i forbindelse med henholdsvis autentisering og produksjon av en elektronisk signatur.
I første utgave av veilederen behandles ikke sektorspesifikke løsninger, slik som HelseID for helse- og omsorgssektoren og Feide for norsk utdanningssektor. Samspillet mellom sektorløsninger og nasjonale fellesløsninger vil kunne behandles under seksjonen for «spørsmål og svar».
Regelverket for eID er teknologinøytralt, og det ikke lenger noe eksplisitt krav om bruk av PKI og sertifikater for å oppnå sterk autentisering. Fortsatt er det vanlig at både privat eID og ansatt-eID benytter et personidentifiserende sertifikat («personlig sertifikat») basert på PKI, men det finnes også ordninger uten sertifikater etter FIDO2-standarden.
Veilederen gjelder ikke oppdragstakere under forvaltningen eller lukkede systemer. Veilederen vil likevel kunne være nyttig for å svare ut tilsvarende eller tilgrensende problemstillinger utenfor veilederens målområde.
Denne veilederen omtaler ikke autentisering av virksomheter. Arbeidsgiver gjøres likevel oppmerksom på at det finnes såkalte virksomhetssertifikater som er knyttet til organisasjonsnummer i stedet for den enkelte ansatte. Merk at ikke alle tjenester støtter bruk av virksomhetssertifikat og krever personlig innlogging. Se Altinn "Hva er virksomhetssertifikat?" og Digdirs veileder for virksomhetsautentisering.
Roller og begreper
Denne veilederen inneholder roller og begreper som kan være ukjente for våre lesere. For å sikre riktig forståelse har vi laget en oversikt over roller og begreper som er spesifikke for denne veilederen under. I tillegg er det lenket til en egen side med oversikt over ord og begreper som gjelder generelt på eID-området.
For en ansatt er det nyttig å kjenne til hvem de ulike aktørene er, og hvilken rolle de har:
Arbeidsgiver er ansvarlig for arbeidsoppgaver som forutsetter bruk av eID.
Tjenesteeier administrerer den tjenesten du ønsker å benytte og krever at du identifiserer deg.
ID-porten er en fellesløsning som tjenesteeierne kan benytte for å identifisere deg med ulike eID-er.
eID-leverandørene er de som har utstedt eID-en til deg, og som foretar en ID-kontroll av deg ved utstedelse av eID og når eID-en brukes.
Ansatt-eID: I denne veilederen brukes begrepet "ansatt-eID" om eID-er på sikkerhetsnivå betydelig og høyt som er utstedt etter arbeidsgivers initiativ og som er ment for bruk i arbeid. Se nærmere beskrivelse på siden Ansatt-eID og privat eID.
Ansattporten er et pilotprosjekt som Digitaliseringsdirektoratet startet våren 2022. Det er en innloggingsportal på lik linje med ID-porten, men med muligheten for knytning til ulike autorisasjonskilder som kan gi arbeidstaker en rolle basert på sitt arbeidsforhold. I piloten blir slik knytning mellom arbeidsgiver og person gjort gjennom en kopling med Altinn Autorisasjon, etter at vedkommende er autentisert med en eID-ordning.
ID-porten muliggjør innlogging til offentlige digitale tjenester og støtter i dag innlogging med autentisering med eID-er på de to høyeste sikkerhetsnivåene. MinID er på det nest høyeste nivået (betydelig), mens eID-ene fra BankID, Buypass og Commfides er på det høyeste nivået (høyt).
Personlig sertifikat: I denne veilederen benyttes begrepet om et personidentifiserende sertifikat som anvendes i både private og ansatte eID-ordninger for å entydig identifisere en fysisk person.
Privat eID: I denne veilederen brukes begrepet "privat eID" om eID-er på sikkerhetsnivå betydelig eller høyt som ikke utelukkende er ment for bruk i arbeid.
Tjenestebruker/bruker: En fysisk person som benytter seg av elektronisk identifikasjon eller en tillitstjeneste. I denne veilederen vil det ofte være det samme som den ansatte.
Tjenesteeier: I denne veilederen brukes begrepet om eier av en nettbasert tjeneste som krever innlogging med eID, for eksempel Altinn, Lånekassen og Skatteetaten.
Behov for eID i offentlig forvaltning
I takt med den økte digitaliseringen har det blitt vanligere å signere dokumenter elektronisk og identifisere seg på arbeidsplassen ved bruk av eID. I noen tilfeller vil arbeidsgiver kunne ha et behov for at ansatte benytter eID i utførelsen av sitt arbeid. For eksempel hvis en arbeidstaker trenger å logge inn i Altinn etter å ha fått tildelt en rettighet, eller DFØ for å registrere timer.
Virksomheten kan også vurdere å ta i bruk tjenester som ikke krever eID, men det er ikke alltid det er et reelt eller ønskelig alternativ.
Behovet kan variere fra virksomhet til virksomhet og blant de ansatte internt i virksomhetene. Det er ikke nødvendigvis slik at alle trenger en selvdeklarert eID på nivå betydelig og høyt for å kunne gjøre jobben sin. Det er opp til arbeidsgiver å vurdere virksomhetens overordnede behov, og behovet til den enkelte ansatte.
For mer veiledning til vurderinen av virksomhetens behov se for eksempel om "saklig behov", under Styringsrett og bruk av privat eID, og nedtrekksboksen "Nødvendig for dette formålet" under Berettiget interesse.