Sjekkliste for arbeidsrettslige vurderinger
Steg 1: Kartlegging av behov
- Kartlegg behovet og hvilke konkrete arbeidsoppgaver som skal løses ved bruk av eID og/eller elektronisk signatur.
- Innhent informasjon om hvilke eID- og signatur-løsninger som finnes og vurder om de kan dekke virksomhetens behov. Bli kjent med fordeler og ulemper ved de ulike løsningene. I en slik behovsvurdering kan virksomhetene blant annet se hen til hva som er mest hensiktsmessig for å dekke krav til compliance, sikkerhet, funksjonalitet og brukervennlighet, tekniske muligheter og begrensninger, samt kostnader.
- I dette ligger at virksomheten også bør vurdere hvilke løsninger som er best egnet for den praktiske bruken i arbeidet, for eksempel om det tillates rask og enkel innlogging/utlogging på enheter som benyttes av flere ansatte.
- Finn ut hvor mange og hvilke ansatte som vil ha behov for å bruke eID og/eller elektronisk signatur som del av sine arbeidsoppgaver.
- Avklar om det er ansatte som vil ha utfordringer med å skaffe eID på nivå høyt og om det finnes løsninger på dette. En utfordring kan for eksempel være manglende fødselsnummer eller D-nummer, jf. selvdeklarasjonsforskriften § 19.
- I Nasjonal strategi for eID i offentlig sektor er det beskrevet grupper med ulike utfordringer forbundet med å skaffe eID på høyere sikkerhetsnivå. Se for eksempel under mål 3.1.
- Innhent informasjon om hvilke eID- og signatur-løsninger som finnes og vurder om de kan dekke virksomhetens behov. Bli kjent med fordeler og ulemper ved de ulike løsningene. I en slik behovsvurdering kan virksomhetene blant annet se hen til hva som er mest hensiktsmessig for å dekke krav til compliance, sikkerhet, funksjonalitet og brukervennlighet, tekniske muligheter og begrensninger, samt kostnader.
- Inngå dialog med ansatte og/eller deres tillitsvalgte som skal benytte eID og/eller elektronisk signatur.
- Informer de ansatte om hva de bør være kjent med ifbm. bruk av eID i arbeidet. Se Hva bør arbeidstaker gjøres kjent med?
- Avklar om den ansatte allerede har en eID og om de ønsker å benytte denne.
- Vurder om bruken innebærer arbeidsorganisatoriske utfordringer. Her er det spesielt av betydning om den ansatte må benytte privateid utstyr i arbeidet, hvorvidt dette eventuelt skal kompenseres, og hvordan risikoen og ansvaret fordeles.
- Ta hensyn til likebehandling. Sjekklisten er utformet med tanke på førstegangsanskaffelse av eID. Realiteten er at mange benytter eID i arbeidet allerede. Det kan være fornuftig med en gjennomgang av sjekklisten så langt det passer, og påse at de som allerede bruker eID ikke utilsiktet behandles annerledes enn de som i fremtiden skal ta eID i bruk eller de som har innvendinger mot bruken.
Steg 2: Compliance
- Vurder om bruken av valgt eID-ordning er i overenstemmelse med personvernreglementet, se Personvernet til arbeidstaker.
- Vurder om bruken av valgt eID-ordning er i overenstemmelse med eForvaltningsforskriften, se Informasjonssikkerhet for hvilke krav som må være oppfylt.
- Vurder hva som eventuelt bør avtalefestes mellom arbeidsgiver og arbeidstaker, jf. Avtale mellom arbeidsgiver og arbeidstaker. Avtaler mellom arbeidsgiver og arbeidstaker bør være skriftlige.
Steg 3: Iverksetting
- Arbeidsgiver må vurdere om styringsretten kan benyttes til å pålegge bruk av privat eID. Ettersom styringsretten må utøves innenfor rammene av det enkelte arbeidsforholdet, vil det alltid måtte bli en konkret vurdering. Se Styringsrett og bruk av privat eID for en nærmere redegjørelse.
I det følgende er en sjekkliste om hvilke punkter som arbeidsgiver bør gjennomgå i sin vurdering.
- Arbeidsgiver bør orientere seg om rettsutviklingen. Er det f.eks. kommet nye regler eller praksis av betydning for bruk av eID i arbeidsforholdet?
- Undersøk om det er avtalefestet noe i tariffavtale, kollektive avtaler eller ansettelseskontrakten som direkte eller indirekte angår bruk av privat eID i arbeidet.
- Vurder om styringsretten kan gi grunnlag for pålegg om bruk av arbeidstakers private eID. Som et utgangspunkt kan det skilles mellom de tilfeller arbeidstaker ønsker å benytte sin private eID i arbeidet, og de tilfeller arbeidstaker ikke ønsker dette:
- Vurder om partene er kommet frem til en tilstrekkelig frivillig ordning gjennom dialog, hvor det er tatt hensyn til maktubalansen.
- Påse at punktene i steg 1 og 2 er oppfylt, deriblant at bruken av privat eID er i overenstemmelse med personvernreglementet og eForvaltningsforskriften. At arbeidstaker er tilstrekkelig informert, og gjort kjent med hva det innebærer å bruke eget utstyr, herunder om bruken skal kompenseres, samt håndtering av tilleggsrisiko og ansvarsfordeling mellom arbeidsgiver og arbeidstaker.
- Gitt at punktene over er oppfylt vil det normalt ikke være noe i veien for en løsning som innebærer bruk av privat eID i et arbeidsforhold.
- Dersom det ikke er enighet om en frivillig ordning om bruk av privat eID i arbeidet, må det først identifiseres hva uenigheten går ut på, og om uenigheten kan avhjelpes.
- Hvis uenigheten ikke kan avhjelpes kan det vurderes om det er grunnlag for et eventuelt pålegg i kraft av styringsretten. Ofte vil det være et spørsmål om arbeidsgiver kan kreve at en arbeidstaker benytter sine private eiendeler eller verktøy i arbeidssituasjonen. Dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer. Se nærmere om andre alternativer på Ansatt-eID og privat eID
- At den ansatte ikke ønsker å benytte private eiendeler, er imidlertid ikke alltid avgjørende. Om det er grunnlag for et pålegg om bruk av privat eID i slike tilfeller vil blant annet kunne bero på følgende momenter:
- Samfunnsutviklingen. Deriblant hvor vanlig det er med bruk av privat eID i arbeidsforhold, normer i den aktuelle sektoren, miljø- og gjenbruksbetraktninger, samt kostnader for arbeidsgiver og hvilke forventinger det er til at arbeidsgiver sørger for en eID til sine ansatte.
- Stillingen og forventningen til stillingen. Er en privat eID noe arbeidstakeren bør forvente å bidra med inn i arbeidsforholdet?
- Tidsnød som arbeidsgiver ikke med rimelighet kunne forutse i forbindelse med utføringen av en oppgave, og som gjør det utfordrende å finne alternativer til bruk av privat eID.
- Det konkrete inngrepet overfor den ansatte, herunder hvilke løsninger som foreslås i forbindelse med besørgelse av utstyr og kompensasjonsordning. Det vil antakeligvis være et merkbart skille mellom pålegg om anskaffelse av en ny eID og pålegg om bruk av en eID den ansatte allerede har, hvor det førstnevnte tilfellet normalt er mer inngripende. Videre vil det trolig innvirke på inngrepets styrke under styringsretten om den ansatte får besørget nødvendig utstyr av arbeidsgiver eller om dette må betales med egne midler, eventuelt om arbeidstaker kompenseres for bruken av arbeidstakers private utstyr.