Avtale mellom arbeidsgiver og arbeidstaker
Arbeidskontrakten eller annen avtale
Det kan være fornuftig at arbeidsgiver og arbeidstaker avtaler hvordan eID skal benyttes i arbeidet.
Arbeidsgiver bør drøfte behov og den konkrete bruken av eID i arbeidsforholdet med arbeidstakerne og deres representanter, og verneombudet kan tas med på råd i planleggingen. Et eksempel er om eID skal benyttes eksternt (typisk tjenester via ID-porten) og om det aktuelle brukerstedet krever en eID på sikkerhetsnivå betydelig eller høyt. Drøftingene bør foregå slik at arbeidstakerne har en reell mulighet til å komme med eventuelle innvendinger og innspill. Målet er at partene kommer fram til løsninger som i størst mulig grad både ivaretar virksomhetens behov og begrenser eventuelle ulemper for arbeidstakerne.
Det sikrer forutsigbarhet og trygghet om arbeidsgiver og arbeidstaker avtaler konkrete regler for bruk og anskaffelse av eID. Dette kan for eksempel skje i avtaler med den enkelte, kollektive avtaler, eller i internt reglement som utarbeides av virksomheten. For de som allerede er ansatt vil det være et spørsmål om partene bør avtalefeste eksisterende eller fremtidig bruk av eID i arbeidet.
Relevante punkter kan være:
- Retningslinjer for bruken.
- Kostnadsfordelingen knyttet til bruk og anskaffelse av eID, herunder også spørsmålet om kompensasjon ved bruk av arbeidstakers private utstyr. Se mer om det i neste undertittel.
- Ansvarsfordelingen mellom arbeidsgiver/arbeidstaker knyttet til eventuell tilleggsrisiko ved bruk av privat eID i arbeid.
Ved utformingen av slike bestemmelser bør arbeidsgiver være oppmerksom på rammene for hva som kan avtales for eksempel om bruk av privat utstyr i arbeidet. Blant annet vil arbeidsgiver forutsetningsvis ikke kunne begrense bruken av en privat eID og tilhørende utstyr til tjenstlige formål. Ettersom det ikke foreligger noen plikt til å ha en privat eID i dag, bør det som et utgangspunkt ikke pålegges anskaffelse av en slik eID dersom ikke den ansatte selv ønsker dette. Alternativet kan da være at arbeidsgiver besørger en eID til den ansatte, se nærmere om eID fra arbeidsgiver på siden Ansatt-eID og privat eID.
Anskaffelse og bruk av utstyr til eID
For å benytte en eID i arbeidet trenger de ansatte tilgang til en fysisk ting som kan kommunisere med eID-ordningen. Dette kan for eksempel være en kodebrikke, en mobiltelefon eller et smartkort.
Arbeidsgiver må foreta en konkret vurdering av hvilket utstyr som er nødvendig for at arbeidstakeren skal kunne gjennomføre sine arbeidsoppgaver, herunder også hvilken eID-ordning og tilhørende utstyr som skal anvendes.
Hva slags utstyr som er aktuelt å velge burde ses opp mot tenkt bruk. Om momenter som rask inn- og utlogging er ønskelig, eller om kostnadseffektive alternativer veier tyngst. Et spørsmål er gjerne hvem som skal sørge for slik utstyr, og om den private kan ta i bruk utstyr de har fra før arbeidsforholdet.
Det er ikke en konkret lovfestet regel at arbeidsgivere skal skaffe utstyret som kreves for at en arbeidstaker skal kunne utføre sitt arbeid. Overordnet synes det i norsk arbeidsrett å være en nokså pragmatisk tilnærming til bruk av privat utstyr, og det forutsettes ofte at dette er noe partene avklarer i forbindelse med inngåelse av arbeidsforholdet.
Det er nok likevel en forventning i mange arbeidsforhold om at arbeidsgiver stiller nødvendig utstyr til disposisjon, deriblant teknisk utstyr som bærbar PC og mobiltelefon, særlig dersom tilgang til slikt utstyr medfører merkostnad for brukeren (den ansatte). Se nærmere om kostnadsfordelingen under.
Generelt kan det være hensiktsmessig om partene avtalefester om utstyret som skal benyttes helt eller delvis skal anskaffes og betales av arbeidsgiver.
Den ansattes bruk av privat eID vil normalt innebære en fordel for arbeidsgiver, som kan skape en forventing hos arbeidstakeren om kompensasjon. I informasjonsinnhentingen til veilederen fremkom det blant annet at Norsk Sykepleierforbund (NSF) har lagt til grunn en løsning hvor den enkelte ansatte gis nødvendig utstyr av arbeidsgiver eller får dekket merkostnaden som følge av eventuell bruk av sin privat eID for arbeidsgiver.
Hvorvidt kompensasjon er rimelig kan derimot avhenge av flere forhold, deriblant eventuelle bruks- eller anskaffelseskostnader i det konkrete tilfellet, hvem som bærer risikoen for utstyret, og størrelsen på den samlede økonomiske belastningen for den ansatte.
Se nærmere om rettskildene veilederen bygger på her.
Selv om det er nødvendig at eID benyttes i arbeidet, vil det ikke nødvendigvis være behov for bruk av bestemt utstyr. Arbeidsgiver har i utgangspunktet et teknologinøytralt valg innenfor rammene av de ulike eID-leverandørenes tilbud. For eksempel er det ikke nødvendig at en eID-ordning er tilknyttet en mobiltelefon, den kan også være knyttet til andre løsninger, slik som Smartkort eller være en integrert del av ansattkortet.
For det tilfellet at det skal anskaffes utstyr til bruk i arbeidet bør arbeidsgiver foreta en vurdering av hvilke skatteregler som kommer til anvendelse.
Arbeidsgivers ansvar
Her vil veilederen ha fokus på arbeidsgivers ansvar for den den eventuelle tilleggsrisikoen som påføres arbeidsgiveren ved at ansatte benytter eID i arbeidet.
Innledende vil arbeidsgiver ha et ansvar for å overholde krav til informasjonssikkerheten, og gjennomføre egnede sikkerhetstiltak for bruk av eID i arbeidet, se nærmere om det på siden Informasjonssikkerhet. Videre må arbeidsgiver ta høyde for at den ansatte kan gjøre feil i forbindelse med bruk av eID i tjenesten. Det vises til gjennomgangen på siden Risiko og ansvarsfordeling og redegjørelsene for «tilleggsrisiko», «Ansvar og plikter» - deriblant arbeidsgiveransvaret i skadeerstatningsloven § 2-1. Arbeidsgiver kan også bli erstatningsansvarlig i medhold av GDPR artikkel 82.
Gitt at arbeidsgiver er erstatningsansvarlig etter en nærmere vurdering av arbeidsgiveransvaret i skadeerstatningsloven § 2-1 eller som behandlingsansvarlig etter GDPR artikkel 82, kan arbeidsgiver måtte svare for skaden.
Arbeidsgivers ansvar etter skadeerstatningsloven § 2-1 omfatter som hovedregel ikke skade arbeidstaker volder utenfor tjenesten. En handling som har rimelig og naturlig sammenheng med tjenesten kan likevel omfattes. Det kan derfor være et behov på arbeidsgiversiden for å trekke opp skillelinjene mellom tjenstlig bruk av eID som har en naturlig sammenheng med arbeidsforholdet, og bruk eller handlinger knyttet til eID som faller utenfor arbeidsgivers ansvarssfære. Det vil også være en fordel for arbeidstaker, om det klart fremgår hva arbeidsgiver vil være ansvarlig for i forbindelse med bruk av eID. Dette kan oppleves betryggende og sikrer samtidig forutsigbarhet.
Enhver person som har lidt skade har adgang til å kreve erstatning fra den behandlingsansvarlige som har forvoldt skaden. Utgangspunktet er at personer som handler under en arbeidsgivers (den behandlingsansvarliges) instruksjonsmyndighet, blir identifisert med den behandlingsansvarlige. Se blant annet Prop. 56 LS (2017–2018) s. 145, jf. Ot.prp.nr.92 (1998–1999) s. 135.
Arbeidsgiver bør i den sammenheng være oppmerksom på at det klare utgangspunktet vil være at de ikke kan legge begrensninger på bruken av en privat anskaffet eID. De ansatte vil kunne bruke denne til egne formål.
Derimot forutsettes det i veilederen at en ansatt-eID som er anskaffet av arbeidsgiver kan begrenses til tjenstlig bruk. Dette har sammenheng med at eID-en er anskaffet av eller via arbeidsgiver, og knytter seg til utstyr som er eid av arbeidsgiver. Et alminnelig utgangspunkt kan være at utstyr som er innkjøpt for arbeidsgivers regning forblir arbeidsgivers eiendom og leveres tilbake til arbeidsgiver ved fratredelse, eller når behovet for tjenesten ikke lenger er til stede.