Hopp til hovedinnhold

Sjekkliste

Steg 1: Overordnet vurdering av virksomhetens behov og informasjonssikkerheten

Fortrinnsvis før eID tas i bruk i arbeidssammenheng, bør arbeidsgivere vurdere:

  • Har virksomheten behov for at en eller flere ansatte har tilgang til og kan bruke en eID?
  • Risikovurderinger og gjennomgang av informasjonssikkerheten
    • eForvaltningsforskriften § 15 ansees som et naturlig utgangspunkt for informasjonssikkerhetsarbeid i virksomheten. Vurder blant annet om bruk av eID bør være forankret i virksomhetens strategi, jf. eForvaltningsforskriften § 15.
    • Undersøk risiko for sikkerhetsbrudd. Benytt gjerne veilederens kapittel om Informasjonssikkerhet som et utgangspunkt, og vurder de ulike risikofaktorene.

Steg 2: Valg av ordninger

Overordnet bør det tas stilling til om det skal anvendes privat eID, eventuelt med tilpasninger for bruk i arbeidsforholdet, eller om det skal benyttes en ansatt-eID.

I tillegg til risikovurderingen i steg 1, bør denne vurderingen blant annet adressere følgende punkter:

  • Økonomiske hensyn
    • Kostnad for anskaffelse av eID og tilhørende nødvendig utstyr
    • Kartlegging av hvor mange ansatte som trenger eID. Herunder hvor mange med eksisterende privat eID som de ønsker å benytte i arbeid.
    • Hvor omfattende og tidkrevende blir en eventuell omlegging, sett opp mot risikoen ved bruk av eksisterende system og løsninger.
  • Effektivitetshensyn
    • Det kan være tidsbesparende å ta i bruk eksisterende private eID-ordninger, fremfor å anskaffe nye ansatt-eID-er.
  • Juridiske vurderinger
    • Gjennomfør steg 1 i sjekklisten for den arbeidsrettslige vurderingen.

Kartlegg behovet og hvilke konkrete arbeidsoppgaver som skal løses ved bruk av eID og/eller elektronisk signatur

  • Innhent informasjon om hvilke eID- og signatur-løsninger som finnes og vurder om de kan dekke virksomhetens behov. Bli kjent med fordeler og ulemper ved de ulike løsningene. I en slik behovsvurdering kan virksomhetene blant annet se hen til hva som er mest hensiktsmessig for å dekke krav til compliance, sikkerhet, funksjonalitet og brukervennlighet, tekniske muligheter og begrensninger, samt kostnader.
  • I dette ligger at virksomheten også bør vurdere hvilke løsninger som er best egnet for den praktiske bruken i arbeidet, for eksempel om det tillates rask og enkel innlogging/utlogging på enheter som benyttes av flere ansatte.
  • Finn ut hvor mange og hvilke ansatte som vil ha behov for å bruke eID og/eller elektronisk signatur som del av sine arbeidsoppgaver.
  • Avklar om det er ansatte som vil ha utfordringer med å skaffe eID på nivå høyt og om det finnes løsninger på dette. En utfordring kan for eksempel være manglende fødselsnummer eller D-nummer, jf. selvdeklarasjonsforskriften § 19.

Inngå dialog med ansatte og/eller deres tillitsvalgte som skal benytte eID og/eller elektronisk signatur

  • Informer de ansatte om hva de bør være kjent med ifbm. bruk av eID i arbeidet. Se Hva bør arbeidstaker gjøres kjent med?
  • Avklar om den ansatte allerede har en eID og om de ønsker å benytte denne.
  • Vurder om bruken innebærer arbeidsorganisatoriske utfordringer. Her er det spesielt av betydning om den ansatte må benytte privateid utstyr i arbeidet, hvorvidt dette eventuelt skal kompenseres, og hvordan risikoen og ansvaret fordeles.

Ta hensyn til likebehandling

Sjekklisten er utformet med tanke på førstegangsanskaffelse av eID. Realiteten er at mange benytter eID i arbeidet allerede. Det kan være fornuftig med en gjennomgang av sjekklisten så langt det passer, og påse at de som allerede bruker eID ikke utilsiktet behandles annerledes enn de som i fremtiden skal ta eID i bruk eller de som har innvendinger mot bruken.

  • Juridiske vurderinger (fortsettelse)
    • Er det ønskelig å sette begrensninger for bruken av eID-en som benyttes i arbeidet? I så fall kan det vurderes en ansatt-eID, se Ansatt-eID og privat eID
    • Gjennomfør sjekklisten for den personvernrettslige vurderingen, som blant annet oppstiller vurderingstema for valget mellom ansatt-eID og privat eID. Enkelte av vurderingene må foretas etter konkret eID-ordning er valgt (steg 3)
    • De arbeids- og personvernrettslige vurderingene vil gi et godt grunnlag for å vurdere hvilken ordning som bør velges. Om nødvendig kan det foretas en konsekvens- og risikovurdering ved å ikke tilby en ansatt-eID.

  • Definer virksomhetens rolle, se Roller og ansvar. Det forutsettes at arbeidsgiver normalt er behandlingsansvarlig for autentisering som ledd i utførelsen av en arbeidsoppgave.
  • Angi formålet ved behandlingen.
  • Undersøk om det finnes brukervilkår knyttet til den eID-ordningen din organisasjon velger som tilsier at den ikke kan brukes slik dere ønsker.
  • Sørg for å tilrettelegge slik at den ansatte kan bruke sine rettigheter knyttet til den behandlingen av personopplysninger som foretas.
  • Foreta en kartlegging av den konkrete persondatabehandlingen som gjennomføres og om det foreligger noen relevant risiko.
  • Har dere som behandlingsansvarlig gjort en vurdering av behandlingsgrunnlaget for bruk av eID på arbeidsplassen? GDPR art. 6 bokstav f er identifisert som et aktuelt behandlingsgrunnlag, men det kan også finnes alternative eller supplerende behandlingsgrunnlag som er bedre egnet for den konkrete behandlingen. Se Behandlingsgrunnlag.
  • Gitt at GDPR art. 6 bokstav e eller f er behandlingsgrunnlag må den ansatte informeres om sine rettigheter etter GDPR art. 21.
    • Under vurderingen av GDPR art. 6 bokstav f bør følgende vurderes, og vurderingen må kunne dokumenteres:
      • Er det en saklig grunn basert på arbeidstakers arbeidsoppgaver for bruk av eID på sikkerhetsnivå «betydelig» eller «høyt»?
      • Ansees bruk av eID som nødvendig eller finnes det andre alternativer som med rimelighet kan oppfylle samme formål?
      • Foreta en interesseavveining av inngrepet overfor den enkelte, veid opp mot behovet for å gjennomføre behandlingen. Under både nødvendighetsvurderingen og interesseavveiningen kan det være relevant å trekke inn valget mellom privat ID og ansatt-eID. Er det foretatt en personvernvurdering av fordeler og ulemper ved de ulike eID-ordningene for virksomheten og de ansatte? Blant annet:
        • De konkrete forskjellene ved bruk av privat ID og alternative ordninger slik som ansatt-eID. Se Ansatt-eID og privat eID.
        • Eventuell risiko og personvernulemper for den ansatte.
        • Hvorvidt den ansatte protesterer mot behandlingen.

Steg 3: Vurdering av valgt ordning

Ved valg av en privat eID:

  • Arbeidsrettslig vurdering:
    • Gjennomfør steg 2 og 3 i sjekklisten for den arbeidsrettslige vurderingen.

Spørsmålet er om styringsretten kan benyttes til å pålegge bruk av privat eID. Ettersom styringsretten må utøves innenfor rammene av det enkelte arbeidsforhold, vil det alltid måtte bli en konkret vurdering. Se Styringsrett og bruk av privat eID.

I det følgende er en sjekkliste som arbeidsgiver bør gjennomgå i sin vurdering.

  • Arbeidsgiver bør orientere seg om rettsutviklingen. Er det f.eks. kommet nye regler eller praksis av betydning for bruk av eID i arbeidsforholdet?
  • Undersøk om det er avtalefestet noe i tariffavtale, kollektive avtaler eller ansettelseskontrakten som direkte eller indirekte angår bruk av privat eID i arbeidet.
  • Undersøk om styringsretten kan gi grunnlag for pålegg om bruk av arbeidstakers private eID. Som et utgangspunkt kan det skilles mellom de tilfeller arbeidstaker ønsker å benytte sin private eID i arbeidet, og de tilfeller arbeidstaker ikke ønsker dette:
    • Dersom bruken baseres på arbeidstaker ønske om å bruke privat eID i arbeidet:
      • Vurder om partene er kommet frem til en tilstrekkelig frivillig ordning gjennom dialog, hvor det er tatt hensyn til maktubalansen.
      • Påse at punktene i steg 1 og 2 er oppfylt, deriblant at bruken av privat eID er i overenstemmelse med personvernreglementet og eForvaltningsforskriften. Se spesielt:
        • At arbeidstaker er tilstrekkelig informert og gjort kjent med hva det innebærer å bruke eget utstyr
        • Om bruken av eget utstyr skal kompenseres
        • Håndtering av tilleggsrisiko
        • Ansvarsfordeling mellom arbeidsgiver og arbeidstaker.
      • Gitt at punktene over er oppfylt vil det normalt ikke være noe i veien for en løsning som innebærer bruk av eID i et arbeidsforhold.
    • Dersom arbeidstaker ikke ønsker å benytte privat eID i arbeidet:
      • Dersom det ikke er enighet om en frivillig ordning om bruk av privat eID i arbeidet, må det først identifiseres hva uenigheten går ut på, og om uenigheten kan avhjelpes.
      • Hvis uenigheten ikke kan avhjelpes kan det vurderes om det er grunnlag for et eventuelt pålegg i kraft av styringsretten.
        • Ofte vil det være et spørsmål om arbeidsgiver kan kreve at en arbeidstaker benytter sine private eiendeler eller verktøy i arbeidssituasjonen.
        • Dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer.
      • At den ansatte ikke ønsker å benytte private eiendeler, er imidlertid ikke alltid avgjørende. Om det er grunnlag for et pålegg om bruk av privat eID i slike tilfeller vil blant annet kunne bero på følgende momenter:
        • Samfunnsutviklingen. Deriblant
          • hvor vanlig det er med bruk av privat eID i arbeidsforhold,
          • normer i den aktuelle sektoren,
          • miljø- og gjenbruksbetraktninger
          • samt kostnader for arbeidsgiver og
          • hvilke forventninger det er til at arbeidsgiver sørger for en eID til sine ansatte.
        • Stillingen og forventningen til stillingen. Er en privat eID noe arbeidstaker bør forvente å bidra med inn i arbeidsforholdet?
        • Tidsnød som arbeidsgiver ikke med rimelighet kunne forutse i forbindelse med utføringen av en oppgave, og som gjør det utfordrende å finne alternativer til bruk av privat eID.
        • Det konkrete inngrepet ovenfor den ansatte, herunder hvilke løsninger som foreslås i forbindelse med besørgelse av utstyr og kompensasjonsordning. Det vil antageligvis være et merkbart skille mellom pålegg om anskaffelse av en ny eID og pålegg om bruk av en eID den ansatte allerede har, hvor det førstnevnte tilfellet normalt er mer inngripende.
  • Personvernrettslig vurdering:
    • Gjennomfør relevante tilleggsvurderinger for bruk av valgt privat eID etter den personvernrettslige sjekklisten, deriblant konkrete vurderinger rundt behandlingsgrunnlaget, og konkret risiko.

Ved valg av en ansatt-eID:

  • Arbeidsrettslig vurdering:
    • Gjennomfør steg 2 i sjekklisten for den arbeidsrettslige vurderingen. Steg 3 forutsetter bruk av privat eID, men kan gjennomføres så langt det passer. I sin alminnelighet vil det ansees å ligge innenfor arbeidsgivers styringsrett å utstyre sine ansatte med en ansatt-eID som arbeidsgiver administrer, anskaffer og betaler for.

Spørsmålet er om styringsretten kan benyttes til å pålegge bruk av privat eID. Ettersom styringsretten må utøves innenfor rammene av det enkelte arbeidsforhold, vil det alltid måtte bli en konkret vurdering. Se Styringsrett og bruk av privat eID.

I det følgende er en sjekkliste som arbeidsgiver bør gjennomgå i sin vurdering.

  • Arbeidsgiver bør orientere seg om rettsutviklingen. Er det f.eks. kommet nye regler eller praksis av betydning for bruk av eID i arbeidsforholdet?
  • Undersøk om det er avtalefestet noe i tariffavtale, kollektive avtaler eller ansettelseskontrakten som direkte eller indirekte angår bruk av privat eID i arbeidet.
  • Undersøk om styringsretten kan gi grunnlag for pålegg om bruk av arbeidstakers private eID. Som et utgangspunkt kan det skilles mellom de tilfeller arbeidstaker ønsker å benytte sin private eID i arbeidet, og de tilfeller arbeidstaker ikke ønsker dette:
    • Dersom bruken baseres på arbeidstaker ønske om å bruke privat eID i arbeidet:
      • Vurder om partene er kommet frem til en tilstrekkelig frivillig ordning gjennom dialog, hvor det er tatt hensyn til maktubalansen.
      • Påse at punktene i steg 1 og 2 er oppfylt, deriblant at bruken av privat eID er i overenstemmelse med personvernreglementet og eForvaltningsforskriften. Se spesielt:
        • At arbeidstaker er tilstrekkelig informert og gjort kjent med hva det innebærer å bruke eget utstyr
        • Om bruken av eget utstyr skal kompenseres
        • Håndtering av tilleggsrisiko
        • Ansvarsfordeling mellom arbeidsgiver og arbeidstaker.
      • Gitt at punktene over er oppfylt vil det normalt ikke være noe i veien for en løsning som innebærer bruk av eID i et arbeidsforhold.
    • Dersom arbeidstaker ikke ønsker å benytte privat eID i arbeidet:
      • Dersom det ikke er enighet om en frivillig ordning om bruk av privat eID i arbeidet, må det først identifiseres hva uenigheten går ut på, og om uenigheten kan avhjelpes.
      • Hvis uenigheten ikke kan avhjelpes kan det vurderes om det er grunnlag for et eventuelt pålegg i kraft av styringsretten.
        • Ofte vil det være et spørsmål om arbeidsgiver kan kreve at en arbeidstaker benytter sine private eiendeler eller verktøy i arbeidssituasjonen.
        • Dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer.
      • At den ansatte ikke ønsker å benytte private eiendeler, er imidlertid ikke alltid avgjørende. Om det er grunnlag for et pålegg om bruk av privat eID i slike tilfeller vil blant annet kunne bero på følgende momenter:
        • Samfunnsutviklingen. Deriblant
          • hvor vanlig det er med bruk av privat eID i arbeidsforhold,
          • normer i den aktuelle sektoren,
          • miljø- og gjenbruksbetraktninger
          • samt kostnader for arbeidsgiver og
          • hvilke forventninger det er til at arbeidsgiver sørger for en eID til sine ansatte.
        • Stillingen og forventningen til stillingen. Er en privat eID noe arbeidstaker bør forvente å bidra med inn i arbeidsforholdet?
        • Tidsnød som arbeidsgiver ikke med rimelighet kunne forutse i forbindelse med utføringen av en oppgave, og som gjør det utfordrende å finne alternativer til bruk av privat eID.
        • Det konkrete inngrepet ovenfor den ansatte, herunder hvilke løsninger som foreslås i forbindelse med besørgelse av utstyr og kompensasjonsordning. Det vil antageligvis være et merkbart skille mellom pålegg om anskaffelse av en ny eID og pålegg om bruk av en eID den ansatte allerede har, hvor det førstnevnte tilfellet normalt er mer inngripende.
  • Personvernrettslig vurdering:
    • Gjennomfør relevante tilleggsvurderinger for bruk av valgt privat eID etter den personvernrettslige sjekklisten, deriblant konkrete vurderinger rundt behandlingsgrunnlaget, og konkret risiko.

I noen grad vil vurderingene være sammenfallende med vurderingen av privat eID. Et tilleggsmoment er at ansatt-eID generelt innebærer et sterkere skille mellom den profesjonelle og private sfære.

Tilbake til veilederens forside