Sjekkliste

Kartlegg behovet og hvilke konkrete arbeidsoppgaver som skal løses ved bruk av eID og/eller elektronisk signatur

• Innhent informasjon om hvilke eID- og signatur-løsninger som finnes og vurder om de kan dekke virksomhetens behov. Bli kjent med fordeler og ulemper ved de ulike løsningene. I en slik behovsvurdering kan virksomhetene blant annet se hen til hva som er mest hensiktsmessig for å dekke krav til compliance, sikkerhet, funksjonalitet og brukervennlighet, tekniske muligheter og begrensninger, samt kostnader.
• I dette ligger at virksomheten også bør vurdere hvilke løsninger som er best egnet for den praktiske bruken i arbeidet, for eksempel om det tillates rask og enkel innlogging/utlogging på enheter som benyttes av flere ansatte.
• Finn ut hvor mange og hvilke ansatte som vil ha behov for å bruke eID og/eller elektronisk signatur som del av sine arbeidsoppgaver.
• Avklar om det er ansatte som vil ha utfordringer med å skaffe eID på nivå høyt og om det finnes løsninger på dette. En utfordring kan for eksempel være manglende fødselsnummer eller D-nummer, jf. selvdeklarasjonsforskriften § 19.
  • I Nasjonal strategi for eID i offentlig sektor er det beskrevet grupper med ulike utfordringer forbundet med å skaffe eID på høyere sikkerhetsnivå. Se for eksempel under mål 3.1.

Inngå dialog med ansatte og/eller deres tillitsvalgte som skal benytte eID og/eller elektronisk signatur

• Informer de ansatte om hva de bør være kjent med ifbm. bruk av eID i arbeidet. Se Hva bør arbeidstaker gjøres kjent med?
• Avklar om den ansatte allerede har en eID og om de ønsker å benytte denne.
• Vurder om bruken innebærer arbeidsorganisatoriske utfordringer. Her er det spesielt av betydning om den ansatte må benytte privateid utstyr i arbeidet, hvorvidt dette eventuelt skal kompenseres, og hvordan risikoen og ansvaret fordeles.

Ta hensyn til likebehandling

Sjekklisten er utformet med tanke på førstegangsanskaffelse av eID. Realiteten er at mange benytter eID i arbeidet allerede. Det kan være fornuftig med en gjennomgang av sjekklisten så langt det passer, og påse at de som allerede bruker eID ikke utilsiktet behandles annerledes enn de som i fremtiden skal ta eID i bruk eller de som har innvendinger mot bruken.

• Definer virksomhetens rolle, se Roller og ansvar. Det forutsettes at arbeidsgiver normalt er behandlingsansvarlig for autentisering som ledd i utførelsen av en arbeidsoppgave.
• Angi formålet ved behandlingen.
• Undersøk om det finnes brukervilkår knyttet til den eID-ordningen din organisasjon velger som tilsier at den ikke kan brukes slik dere ønsker.
• Sørg for å tilrettelegge slik at den ansatte kan bruke sine rettigheter knyttet til den behandlingen av personopplysninger som foretas.
• Foreta en kartlegging av den konkrete persondatabehandlingen som gjennomføres og om det foreligger noen relevant risiko.
• Har dere som behandlingsansvarlig gjort en vurdering av behandlingsgrunnlaget for bruk av eID på arbeidsplassen? GDPR art. 6 bokstav f er identifisert som et aktuelt behandlingsgrunnlag, men det kan også finnes alternative eller supplerende behandlingsgrunnlag som er bedre egnet for den konkrete behandlingen. Se Behandlingsgrunnlag.
• Gitt at GDPR art. 6 bokstav e eller f er behandlingsgrunnlag må den ansatte informeres om sine rettigheter etter GDPR art. 21.
  • Under vurderingen av GDPR art. 6 bokstav f bør følgende vurderes, og vurderingen må kunne dokumenteres:
    • Er det en saklig grunn basert på arbeidstakers arbeidsoppgaver for bruk av eID på sikkerhetsnivå «betydelig» eller «høyt»?
    • Ansees bruk av eID som nødvendig eller finnes det andre alternativer som med rimelighet kan oppfylle samme formål?
    • Foreta en interesseavveining av inngrepet overfor den enkelte, veid opp mot behovet for å gjennomføre behandlingen. Under både nødvendighetsvurderingen og interesseavveiningen kan det være relevant å trekke inn valget mellom privat ID og ansatt-eID. Er det foretatt en personvernvurdering av fordeler og ulemper ved de ulike eID-ordningene for virksomheten og de ansatte? Blant annet:
      • De konkrete forskjellene ved bruk av privat ID og alternative ordninger slik som ansatt-eID. Se Ansatt-eID og privat eID.
      • Eventuell risiko og personvernulemper for den ansatte.
      • Hvorvidt den ansatte protesterer mot behandlingen.

• Vurder om bruken av valgt eID-ordning er i overenstemmelse med personvernreglementet. Se Personvernet til arbeidstaker.
• Vurder om bruken av valgt eID-ordning er i overenstemmelse med eForvaltningsforskriften. Se Informasjonssikkerhet.
• Vurder hva som eventuelt bør avtalefestes mellom arbeidsgiver og arbeidstaker, se Avtale mellom arbeidsgiver og arbeidstaker. Avtaler mellom arbeidsgiver og arbeidstaker bør være skriftlige.

Spørsmålet er om styringsretten kan benyttes til å pålegge bruk av privat eID. Ettersom styringsretten må utøves innenfor rammene av det enkelte arbeidsforhold, vil det alltid måtte bli en konkret vurdering. Se Styringsrett og bruk av privat eID.

I det følgende er en sjekkliste som arbeidsgiver bør gjennomgå i sin vurdering.

• Arbeidsgiver bør orientere seg om rettsutviklingen. Er det f.eks. kommet nye regler eller praksis av betydning for bruk av eID i arbeidsforholdet?
• Undersøk om det er avtalefestet noe i tariffavtale, kollektive avtaler eller ansettelseskontrakten som direkte eller indirekte angår bruk av privat eID i arbeidet.
• Undersøk om styringsretten kan gi grunnlag for pålegg om bruk av arbeidstakers private eID. Som et utgangspunkt kan det skilles mellom de tilfeller arbeidstaker ønsker å benytte sin private eID i arbeidet, og de tilfeller arbeidstaker ikke ønsker dette:
  • Dersom bruken baseres på arbeidstaker ønske om å bruke privat eID i arbeidet:
    • Vurder om partene er kommet frem til en tilstrekkelig frivillig ordning gjennom dialog, hvor det er tatt hensyn til maktubalansen.
    • Påse at punktene i steg 1 og 2 er oppfylt, deriblant at bruken av privat eID er i overenstemmelse med personvernreglementet og eForvaltningsforskriften. Se spesielt:
      • At arbeidstaker er tilstrekkelig informert og gjort kjent med hva det innebærer å bruke eget utstyr
      • Om bruken av eget utstyr skal kompenseres
      • Håndtering av tilleggsrisiko
      • Ansvarsfordeling mellom arbeidsgiver og arbeidstaker.
    • Gitt at punktene over er oppfylt vil det normalt ikke være noe i veien for en løsning som innebærer bruk av eID i et arbeidsforhold.
  • Dersom arbeidstaker ikke ønsker å benytte privat eID i arbeidet:
    • Dersom det ikke er enighet om en frivillig ordning om bruk av privat eID i arbeidet, må det først identifiseres hva uenigheten går ut på, og om uenigheten kan avhjelpes.
    • Hvis uenigheten ikke kan avhjelpes kan det vurderes om det er grunnlag for et eventuelt pålegg i kraft av styringsretten.
      • Ofte vil det være et spørsmål om arbeidsgiver kan kreve at en arbeidstaker benytter sine private eiendeler eller verktøy i arbeidssituasjonen.
      • Dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer.
    • At den ansatte ikke ønsker å benytte private eiendeler, er imidlertid ikke alltid avgjørende. Om det er grunnlag for et pålegg om bruk av privat eID i slike tilfeller vil blant annet kunne bero på følgende momenter:
      • Samfunnsutviklingen. Deriblant
        • hvor vanlig det er med bruk av privat eID i arbeidsforhold,
        • normer i den aktuelle sektoren,
        • miljø- og gjenbruksbetraktninger
        • samt kostnader for arbeidsgiver og
        • hvilke forventninger det er til at arbeidsgiver sørger for en eID til sine ansatte.
      • Stillingen og forventningen til stillingen. Er en privat eID noe arbeidstaker bør forvente å bidra med inn i arbeidsforholdet?
      • Tidsnød som arbeidsgiver ikke med rimelighet kunne forutse i forbindelse med utføringen av en oppgave, og som gjør det utfordrende å finne alternativer til bruk av privat eID.
      • Det konkrete inngrepet ovenfor den ansatte, herunder hvilke løsninger som foreslås i forbindelse med besørgelse av utstyr og kompensasjonsordning. Det vil antageligvis være et merkbart skille mellom pålegg om anskaffelse av en ny eID og pålegg om bruk av en eID den ansatte allerede har, hvor det førstnevnte tilfellet normalt er mer inngripende.

• Vurder om bruken av valgt eID-ordning er i overenstemmelse med personvernreglementet. Se Personvernet til arbeidstaker.
• Vurder om bruken av valgt eID-ordning er i overenstemmelse med eForvaltningsforskriften. Se Informasjonssikkerhet.
• Vurder hva som eventuelt bør avtalefestes mellom arbeidsgiver og arbeidstaker, se Avtale mellom arbeidsgiver og arbeidstaker. Avtaler mellom arbeidsgiver og arbeidstaker bør være skriftlige.

Spørsmålet er om styringsretten kan benyttes til å pålegge bruk av privat eID. Ettersom styringsretten må utøves innenfor rammene av det enkelte arbeidsforhold, vil det alltid måtte bli en konkret vurdering. Se Styringsrett og bruk av privat eID.

I det følgende er en sjekkliste som arbeidsgiver bør gjennomgå i sin vurdering.

• Arbeidsgiver bør orientere seg om rettsutviklingen. Er det f.eks. kommet nye regler eller praksis av betydning for bruk av eID i arbeidsforholdet?
• Undersøk om det er avtalefestet noe i tariffavtale, kollektive avtaler eller ansettelseskontrakten som direkte eller indirekte angår bruk av privat eID i arbeidet.
• Undersøk om styringsretten kan gi grunnlag for pålegg om bruk av arbeidstakers private eID. Som et utgangspunkt kan det skilles mellom de tilfeller arbeidstaker ønsker å benytte sin private eID i arbeidet, og de tilfeller arbeidstaker ikke ønsker dette:
  • Dersom bruken baseres på arbeidstaker ønske om å bruke privat eID i arbeidet:
    • Vurder om partene er kommet frem til en tilstrekkelig frivillig ordning gjennom dialog, hvor det er tatt hensyn til maktubalansen.
    • Påse at punktene i steg 1 og 2 er oppfylt, deriblant at bruken av privat eID er i overenstemmelse med personvernreglementet og eForvaltningsforskriften. Se spesielt:
      • At arbeidstaker er tilstrekkelig informert og gjort kjent med hva det innebærer å bruke eget utstyr
      • Om bruken av eget utstyr skal kompenseres
      • Håndtering av tilleggsrisiko
      • Ansvarsfordeling mellom arbeidsgiver og arbeidstaker.
    • Gitt at punktene over er oppfylt vil det normalt ikke være noe i veien for en løsning som innebærer bruk av eID i et arbeidsforhold.
  • Dersom arbeidstaker ikke ønsker å benytte privat eID i arbeidet:
    • Dersom det ikke er enighet om en frivillig ordning om bruk av privat eID i arbeidet, må det først identifiseres hva uenigheten går ut på, og om uenigheten kan avhjelpes.
    • Hvis uenigheten ikke kan avhjelpes kan det vurderes om det er grunnlag for et eventuelt pålegg i kraft av styringsretten.
      • Ofte vil det være et spørsmål om arbeidsgiver kan kreve at en arbeidstaker benytter sine private eiendeler eller verktøy i arbeidssituasjonen.
      • Dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer.
    • At den ansatte ikke ønsker å benytte private eiendeler, er imidlertid ikke alltid avgjørende. Om det er grunnlag for et pålegg om bruk av privat eID i slike tilfeller vil blant annet kunne bero på følgende momenter:
      • Samfunnsutviklingen. Deriblant
        • hvor vanlig det er med bruk av privat eID i arbeidsforhold,
        • normer i den aktuelle sektoren,
        • miljø- og gjenbruksbetraktninger
        • samt kostnader for arbeidsgiver og
        • hvilke forventninger det er til at arbeidsgiver sørger for en eID til sine ansatte.
      • Stillingen og forventningen til stillingen. Er en privat eID noe arbeidstaker bør forvente å bidra med inn i arbeidsforholdet?
      • Tidsnød som arbeidsgiver ikke med rimelighet kunne forutse i forbindelse med utføringen av en oppgave, og som gjør det utfordrende å finne alternativer til bruk av privat eID.
      • Det konkrete inngrepet ovenfor den ansatte, herunder hvilke løsninger som foreslås i forbindelse med besørgelse av utstyr og kompensasjonsordning. Det vil antageligvis være et merkbart skille mellom pålegg om anskaffelse av en ny eID og pålegg om bruk av en eID den ansatte allerede har, hvor det førstnevnte tilfellet normalt er mer inngripende.