Ansatt-eID og privat eID
Markedsleverandørene leverer i dag to ulike produkter innenfor personlige eID-er. Det vi i denne veilederen kaller «privat eID» og «ansatt-eID».
Begrepene privat eID og ansatt-eID er ikke rettslig definert, og veilederen har gitt de et eget innhold. I det følgende vil begrepene forklares slik de benyttes i veilederen.
«Privat eID» er nok det de fleste tenker på når de hører ordet «eID». Dette er en eID som brukeren gjerne har anskaffet uavhengig av et arbeidsforhold fra enten Buypass, Commfides, BankID eller MinID. Dette er en eID på sikkerhetsnivå betydelig eller høyt som ofte benyttes til private formål, men som i mange tilfeller også benyttes i arbeidssammenheng.
Hva er ansatt-eID?
Begrepet «ansatt-eID» benyttes i denne veilederen om eID-ordninger fra Buypass, Commfides og BankID som er utstedt etter arbeidsgivers initiativ og som i utgangspunktet er ment for bruk i arbeid. Hvorvidt eID-ene er begrenset til bruk i arbeidet vil fremgå av avtalen mellom eID-leverandøren og avtaleparten som kan være arbeidsgiver og/eller arbeidstaker. I tillegg vil en ansatt-eID kunne inneholde informasjon som kan knytte den ansatte til en virksomhet.
I likhet med privat eID inneholder ansatt-eID personlig informasjon, som knytter eIDen til en bestemt fysisk person. Denne informasjonen kan for eksempel fremgå av et "personlig sertifikat", og omfatter blant annet fødselsnummer.
I praksis benyttes begrepene «personlig sertifikat», «personsertifikater» og «personidentifiserende sertifikat» om det samme; Et sertifikat med informasjon som kan identifisere en fysisk person. Disse sertifikatene er den del av eID-ordningene.
Personopplysningene som i sertifikatene vil ofte være de samme uavhengig av om det er en privat eID eller ansatt-eID. Ved begge type ordninger blir man identifisert med personidentifiserende informasjon som er knyttet til arbeidstaker personlig, deriblant fødselsnummer. Se mer om de konkrete opplysningene som behandles på siden Hva arbeidstaker må vite om personvern. En ansatt-eID, slik markedsløsningene er i dag, inneholder ikke nødvendigvis et «virksomhetssertifikat» i den betydning at arbeidstaker identifiserer seg som en virksomhet (juridisk person) eller som ansatt i en virksomhet.
Det er likevel noen av ansatt-eID-ordningene som sørger for en knytning mellom den ansatte og virksomheten, for eksempel ved at det personlige sertifikatet suppleres med informasjon om virksomheten vedkommende er ansatt i. I andre tilfeller vil tjenesten man logger inn i håndtere koblingen mellom den ansatte og virksomheten.
Det er såvidt oss bekjent ingen generelle krav om at man må signere eller logge inn med en eID-ordning som inneholder knytning mellom en ansatt og virksomheten den ansatt tilhører. En slik kobling kan likevel være ønskelig, for eksempel av hensyn til den ansatte (det tydeliggjøres at vedkommende opptrer i en profesjonell rolle), eller av hensyn til privatpersoner (når det er underordnet hvem som har signert, og viktigere hvilken offentlig virksomhet vedkommende representerer).
For å finne ut om det er mulig å opprette en knytning mellom ansatte og virksomheten ved bruk av eID kan en blant annet:
1. Sjekke om eID-ordningen inneholder informasjon om virksomhetstilknytning, for eksempel som del av sertifikatet. Dette fremgår muligens av brukeravtalen eller en kan spørre leverandøren.
2. Undersøke med tjenesteeier om kobling mellom ansatt og virksomhet utføres av tjenesten.
*For øvrig omfattes ikke virksomhetssertifikater av denne veilederen, men omtales i Digdir sin egen veileder for virksomhetsautentisering.
*Noen eID-ordninger er "sertifikatløse" og benytter annen teknologi (for eksempel FIDO2).
Selv om ansatt-eID i praksis kan ha mange likheter med en privat eID, særlig når det kommer til behandlingen av personopplysninger, kan ansatt-eID oppleves av brukeren som noe adskilt fra sin private eID. Dette fordi ansatt-eID ofte er anskaffet eller betalt av arbeidsgiver, administreres via arbeidsgiver, og gjerne skiller seg visuelt fra den ansattes private eID.
Arbeidsgiver vil også kunne ha utvidede rettigheter og forpliktelser når det gjelder utstedelse og administrasjon av eID til sine ansatte, slik som revokering (tilbakekalling) av eID-ene. Arbeidsgiver vil med andre ord ha en mer tydelig og definert rolle for håndteringen av en ansatt-eID.
Valg av privat eID eller ansatt-eID?
Informasjon om de ulike eID-ordningene som finnes kan man få fra de ulike eID-aktørene i markedet. Etter å ha kartlagt de ulike eID-ordningene som finnes, må det foretas en konkret vurdering av hvilken eID ordning som passer best i det enkelte tilfellet. Et par generelle forhold bør man som arbeidsgiver være oppmerksom på:
- I vurderingen av om en eID-ordning kan tas i bruk i offentlig forvaltning er det ikke avgjørende om det kalles «privat eID» eller en «ansatt-eID».
- Arbeidsgiver bør også være oppmerksom på at en privat eID normalt ikke kan begrenses til bruk i arbeidet. Motsatt vil en ansatt-eID som er utstedt til bruk i forvaltningen, kunne begrenses til slik bruk.
- Det finnes flere ulike eID-er, både innenfor private eID- og ansatt-eID-ordninger. Det er opp til virksomheten og de ansatte å vurdere hvilken løsning som er best egnet i deres konkrete tilfelle.
Vurderinger knyttet til Ansatt-eID
Selv om det må bero på en konkret vurdering, forutsetter denne veilederen at det ligger innenfor styringsretten å pålegge bruk av en ansatt-eID som administreres, anskaffes og betales av arbeidsgiver. Det forutsettes samtidig at det foreligger saklig grunnlag for bruken, og at den ansatte er gitt tilstrekkelig informasjon, samt at øvrige vilkår for bruken er oppfylt.
Dersom arbeidsgiver ønsker å anskaffe en eID til bruk i forvaltningen må det innhentes samtykke fra den ansatte før utstedelse av eID-en. Dette kan skje i forbindelse med at man må informere og involvere den ansatte i anskaffelsesprosessen.
Ved bruk ansatt-eID i virksomheten anbefaler vi å gjennomgå veilederens Sjekkliste, se boksen nedenfor. Sjekklisten viser videre til de ulike vurderingene som bør gjøres.
Vurderinger knyttet til Privat eID
Ved bruk av privat eID vil det være mest hensiktsmessig å tilrettelegge for en frivillig ordning. Vurderingene blir raskt mer komplekse dersom den ansatte ikke ønsker å benytte en privat eID i arbeidet, og dette heller ikke er avtalefestet.
Et praktisk tilfelle er at arbeidsgiver ønsker å ta i bruk en privat eID som den ansatte allerede har. Arbeidsgiver bør da gå i dialog med arbeidstaker i hensikt å avklare mulighetene for en frivillig ordning, og eventuelt avtalefeste bruken.
Ved bruk av privat eID i virksomheten anbefaler vi å gjennomgå veilederens Sjekkliste, se boksen nedenfor. Sjekklisten viser videre til de ulike vurderingene som bør gjøres.