Risiko og fordeling av ansvar og kostnader
En arbeidstaker må få informasjon om hva det innebærer å bruke eID i arbeidssammenheng, både i de tilfeller hvor arbeidstaker bruker sin private eID eller har fått tildelt en ansatt-eID av arbeidsgiver.
Ved anskaffelse og bruk av eID bør arbeidstaker få vite følgende:
- Hva bruken av eID innebærer for den enkelte arbeidstaker
- hvordan eID skal benyttes i arbeidsforholdet, herunder i hvilke tjenester og til hvilke arbeidsoppgaver.
- Risiko ved bruk av eID
- Det er ikke uvanlig at ny teknologi møtes med en viss skepsis og bekymring, ei heller konseptet om å identifisere seg elektronisk. Selv om dette er blitt moden teknologi, vil en del bekymringer kunne henge igjen. Noen av disse kan være mer eller mindre berettigede, mens andre ikke er det.
- Generelt er det en viss risiko uavhengig av hvilken eID-ordning som velges, i det man aldri kan være helt sikker på at opplysninger som behandles digitalt ikke utsettes for sikkerhetsbrudd. Derimot vil bruk av eID-ordninger på de høyeste sikkerhetsnivåene være mer sikkert enn om de ansatte kun benytter brukernavn og passord.
- Ved formidling av risiko må det skilles mellom opplevd risiko og faktisk risiko. Dagens eID-ordninger på sikkerhetsnivå betydelig og høyt gjennomgår grundig internrevisjon og er underlagt et eksternt tilsynsregime. Slike tiltak har til hensikt å gjøre eID-ordningene trygge å bruke. Det vil fortsatt være en risiko for at sikkerhetsbrudd kan skje, men ut i fra opplysningene vi har synes sikkerhetsbrudd primært å være relatert til forhold på brukersiden. Det kan for eksempel være at brukeren gir fra seg tilgang til passord eller kodebrikke til en annen, som kan føre til det som gjerne kalles ID-tyveri eller ID-misbruk.
- Hvorvidt bruk av eID i arbeidssammenheng medfører noen risiko for den enkelte arbeidstaker er gjerne et spørsmål om hvilken tilleggsrisiko det utgjør å benytte eID i forbindelse med arbeidet. I veilederen forutsettes at de fleste arbeidstakere allerede har en eID, og det må vurderes om bruk av eID i arbeidet utgjør en merkbar tilleggsrisiko, sett i forhold til bruken utenfor arbeidet.
- Arbeidsrelaterte risikofaktorer kan være sikkerhetsbrudd på arbeidsgivers systemer, ID-misbruk fra andre ansatte, eller uaktsom deling av tilgangskoder.
- For ansatte kan det for eksempel utgjøre en risiko hvis de forlater arbeidsplassen uten å låse PC-en. Et lignende eksempel er risikoen forbundet med at flere personer jobber på delte enheter. Hvis en ansatt logger på gjennom ID-porten og glemmer å logge ut, vil den som kommer etterpå kunne bruke den pågående sesjonen og få uberettiget tilgang til ulike tjenester.
- Andre risikofaktorer knyttet til arbeidet er frakt og oppbevaring av utstyr som benyttes til eID og generelt økt bruk av eID-en.
- Den eventuelle tilleggsrisikoen ved å ta i bruk eID i arbeidssammenheng kan reduseres ved gode interne retningslinjer, samt informasjon, opplæring og oppfølging av de ansatte.
Les mer om engangspålogging nederst på veilederens side om informasjonssikkerhet. Se også Datatilsynets nettsider for mer informasjon om identitetstyveri generelt.
- Den ansattes ansvar og plikter
- I forbindelse med bruk av eID kan den ansatte ha ulike forpliktelser, som for eksempel hemmelighold av tilgangskoder, oppbevaring av kodebrikker, og forsvarlig bruk av utstyr knyttet til eID-en. Slike forpliktelser følger ofte av avtalen mellom den ansatte og eID-leverandøren.
- For øvrig vil ansatte og arbeidsgiver ha ulike forpliktelser ovenfor hverandre med utgangspunkt i arbeidsforholdet, som kan være relevant ved bruk av eID. Eksempler på det er virksomhetens ansvar for informasjonssikkerheten til den ansatte (se blant annet nederst på siden), og arbeidsgiveransvaret som har betydning for om den ansatte kan holdes personlig ansvarlig ved feil under bruk av eID i arbeidet (se under).
- Ved bruk av eID vil den ansattes konkrete forpliktelser overfor eID-leverandøren normalt fremgå av en standard brukeravtale. Virksomheten bør være oppmerksom på disse forpliktelsene og den ansatte må overholde disse forpliktelsene.
- Dersom det stilles krav til informasjonssikkerheten i brukeravtalen er det nærliggende at virksomheten tar del i dette ansvaret og sørger for tiltak for å unngå brudd på sikkerheten til eID-en til den ansatte, jf. også virksomhetens forpliktelser etter eforvaltningsforskriften § 15 flg. Se mer om virksomhetens ansvar for informasjonssikkerheten nederst på siden.
- Ved bruk av ansatt-eID vil det enten være en brukeravtale mellom den ansatte og eID-leverandøren direkte, eller en avtale med eID-leverandøren som går via arbeidsgiver. Det kan for eksempel være en egen avtale mellom eID-leverandøren og virksomheten (arbeidsgiver), hvor det også innhentes en godkjenning fra sluttbrukeren (den ansatte). I avtalen fremgår det forutsetningsvis hvilket ansvar og plikter den ansatte har.
- Ved behov kan det avtales mellom arbeidsgiver og arbeidstaker hvilken bruk av eID-en som er tillatt i arbeidssammenheng og hvilken bruk av eID-en som ligger utenfor rammene av arbeidsforholdet.
- Arbeidsgiver vil etter omstendighetene måtte svare for ansattes feil i forbindelse med arbeidet. Dette gjelder også feil som er uaktsomme og som den ansatte kan klandres for, jf. skadeserstatningsloven § 2-1 («arbeidsgiveransvaret»).
- En offentlig virksomhet kan i egenskap av å være arbeidsgiver bli ansvarlig for arbeidstakers feil ved bruk av egen eller andres eID. En kan for eksempel se for seg at arbeidstaker uaktsomt benytter en annen arbeidstakers eID når flere personer jobber på delte enheter.
- Arbeidsgivers ansvar vil måtte bero på en konkret vurdering av omstendighetene. I vurderingen skal det tas hensyn til om «de krav skadelidte med rimelighet kan stille til virksomheten eller tjenesten, er tilsidesatt». Virksomheten vil ikke måtte svare for skade som skyldes at arbeidstakeren går utenfor det som er rimelig å regne med etter rammene for arbeidsforholdet. Ved forsettlige feil (feil som gjøres bevisst eller med vilje) må den ansatte være forberedt på at det helt eller delvis kan bli aktuelt med et personlig ansvar, jf. skadeserstatningsloven § 2-3 nr. 1
- Såfremt arbeidstaker benytter eID-en etter beste evne og til å utføre sine pålagte arbeidsoppgaver, skal det mye til før det oppstår et tilfelle hvor det er aktuelt med personlig ansvar.
*For relevant praksis om arbeidsgiveransvaret se for eksempel Rt. 2008 s. 755 avsnitt 52, og Rt. 2015 s. 475 avsnitt 80 flg. Et eksempel på hvor grensen for arbeidsgivers ansvar trekkes opp finnes i HR-2017-2292-A.
- Informasjon om restriksjoner knyttet til bruk av eID-en.
- Dette kan inkludere informasjon om egen og andres mulighet til å suspendere eller stenge eID-en, for eksempel ved misbruk eller avslutning av arbeidsforholdet.
- Arbeidsgiver vil ikke, eller i liten grad, ha anledning til å administrere eller legge restriksjoner på en privat eID sammenliknet med en ansatt-eID.
- Utstyr som er innkjøpt for arbeidsgivers regning, er normalt arbeidsgivers eiendom med mindre annet er avtalt. Dette antas også å gjelde for ansatt-eID med tilhørende utstyr som er anskaffet av arbeidsgiver.
- Informasjon om kostnader ved bruk av eID i arbeidet og kostnadsfordelingen mellom arbeidsgiver og arbeidstaker.
- Dette gjelder også for anskaffelse og bruk av utstyr knyttet til den eID-en som blir brukt i arbeidssammenheng.
- Her finnes det flere ulike løsninger som må avklares konkret, enten med den enkelte ansatte eller kollektivt.
- Den ansatte bør få informasjon om arbeidsgiver vil dekke kostnader til anskaffelse av en eID og/eller tilhørende nødvendig utstyr. For eksempel anskaffelse av mobiltelefon eller smartkort der det er nødvendig for bruk av eID i arbeidsforholdet.
- Det bør også gis informasjon om eventuell kompensasjon for det tilfellet at arbeidstaker ønsker å benytte en eksisterende eID i arbeidet, som ikke innebærer noen nyanskaffelser for arbeidsgiver. Se nærmere om kostnadsfordeling nederst på siden om Avtale mellom arbeidsgiver og arbeidstaker
- Tilbud om opplæring, og hvilken oppfølgning de ansatte vil få
- Informasjon om behandling av personopplysninger, se neste side.
- Informasjonssikkerhet på arbeidsplassen
- For bruk av eID på arbeidsplassen kreves det at virksomheten har god generell informasjonssikkerhet. Virksomhetens ansvar for informasjonssikkerheten kan tenkes å ha betydning ved bruk av eID, for eksempel hvis arbeidsgiver ikke har gjennomført nødvendige tekniske og organisatoriske sikkerhetstiltak jf. personvernforordningen art. 32. (Se også trekkspillboksen over om "Ansattes forpliktelser etter avtale med eID-leverandøren").
- Les mer om informasjonssikkerhet ved bruk av eID i arbeidsforhold på den arbeidsrettslige siden om Informasjonssikkerhet - med videre henvisninger.