Sjekkliste for personvern

Prinsippene for behandling av personopplysninger i GDPR art. 5 skal alltid være et fundament for behandling av personopplysninger.
Definer virksomhetens rolle, se Roller og ansvar. Det forutsettes at arbeidsgiver normalt er behandlingsansvarlig for autentisering som ledd i utførelsen av en arbeidsoppgave.
Angi formålet ved behandlingen.
Undersøk om det finnes brukervilkår knyttet til den eID-ordningen din organisasjon velger som tilsier at den ikke kan brukes slik dere ønsker.
Sørg for å tilrettelegge slik at den ansatte kan bruke sine rettigheter knyttet til den behandlingen av personopplysninger som foretas.
Foreta en kartlegging av den konkrete persondatabehandlingen som gjennomføres og om det foreligger noen relevant risiko.
Har dere som behandlingsansvarlig gjort en vurdering av behandlingsgrunnlaget for bruk av eID på arbeidsplassen? GDPR art. 6 bokstav f er identifisert som et aktuelt behandlingsgrunnlag, men det kan også finnes alternative eller supplerende behandlingsgrunnlag som er bedre egnet for den konkrete behandlingen, jf. Behandlingsgrunnlag.
Gitt at GDPR art. 6 bokstav e eller f er behandlingsgrunnlag må den ansatte informeres om sine rettigheter etter GDPR art. 21.
- Under vurderingen av GDPR art. 6 bokstav f bør følgende vurderes, og vurderingen må kunne dokumenteres:
  - Er det en saklig grunn basert på arbeidstakers arbeidsoppgaver for bruk av eID på sikkerhetsnivå «betydelig» eller «høyt»?
  - Ansees bruk av eID som nødvendig eller finnes det andre alternativer som med rimelighet kan oppfylle samme formål?
  - Foreta en interesseavveining av inngrepet overfor den enkelte, veid opp mot behovet for å gjennomføre behandlingen. Under både nødvendighetsvurderingen og interesseavveiningen kan det være relevant å trekke inn valget mellom privat ID og ansatt-eID. Er det foretatt en personvernvurdering av fordeler og ulemper ved de ulike eID-ordningene for virksomheten og de ansatte? Blant annet:
    - De konkrete forskjellene ved bruk av privat ID og alternative ordninger slik som ansatt-eID, se Ansatt-eID og privat eID.
    - Eventuell risiko og personvernulemper for den ansatte.
    - Hvorvidt den ansatte protesterer mot behandlingen.

Veileder for bruk av eID i offentlig forvaltning

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Når du svarer på spørsmålet dukker det opp et tekstfelt som må fylles ut.

Nei

* obligatorisk felt som du må fylle ut for å sende skjemaet.

Tilbakemelding

Tilbakemeldingen er anonym og vil ikke bli besvart.

Er du et menneske?

Mattespørsmål 10 + 8 =

Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.

Sjekkliste for personvern

Gå tilbake til veilederens startside: