Høringssvar: Veileder for bruk av eID

Publisert: 20.01.2023

Les alt om høringsdokumenter og høringssvar på regjeringen.no

Hovedpunkter

Vi viser til deres høringsbrev 2. desember 2022 av utkast til veileder for bruk av eID for ansatte i offentlig forvaltning. KS er generelt positiv til at det gis en veileder for bruk av eID for ansatte i offentlig forvaltning. Etter vår vurdering har veilederen generelt et relevant og godt innhold. Spørsmålet har praktisk betydning for offentlig sektor, herunder også kommunesektoren.

Våre vesentlige innspill til endringer i veilederen før ferdigstillelse er følgende:

Vårt generelle inntrykk er at den helt klare normalen er at ansatte bruker sin alminnelige, private eID også ved behov for eID i arbeidsforholdet. Stort sett synes dette å være uproblematisk for det store flertallet av ansatte. Veilederen bør legge til rette for at denne positive utviklingen kan fortsette. Det er i denne sammenheng behov for at veilederen i større grad får frem at bruk av eID normalt er fordelaktig for sikker identifisering, at virksomheter generelt har et saklig behov for at ansatte identifiserer seg ved bruk av eID, og at det generelt er liten risiko – eller i sum risikoreduserende – å benytte eID for identifikasjon i ansettelsesforholdet.
Arbeidsgivers styringsrett til å pålegge bruk av privat eID er etter vårt syn merkbart romsligere enn veilederen beskriver. Veilederen bør derfor justeres på dette punkt. Vi understreker for ordens skyld at det er påkrevd at veilederen på dette punkt begrenser seg til den tilsiktede rent deskriptive rolle. Staten kan ikke sette grenser for kommuners styringsrett uten gjennom lovvedtak.
Veilederen synes å utrede de personvernrettslige spørsmålene på en hovedsakelig god måte. Samtidig er det en stor fordel om veilederen kan gi mer operativt rettede råd, som gjør den praktiske håndteringen av spørsmålene enklere. Det bør eksempelvis klargjøres i størst mulig grad hvordan arbeidsgivere kan håndtere pliktene gjennom generelle vurderinger for virksomhetens ansatte.

Vi redegjør nærmere for disse punktene, og også enkelte andre forhold, i det videre.

KS er opptatt av en videreutvikling av offentlig eID. Vi ga i september 2022 støtte til ny strategi for eID da denne var på høring. KS støtter de fem overordnede målene i utkastet til ny eID strategi. Videre støtter KS de overordnete prioriteringene som reflekteres i målene, men mener at kommunal sektor har særlig behov for at følgende realiseres raskt:

behov for eID for alle brukergrupper på riktig sikkerhetsnivå
behovet for en løsning der ulike typer representasjonsforhold kan ivaretas på en god måte
behov for en egen eID for ansatte

Vi vil derfor ønske velkommen en lansering av ny strategi og handlingsplan for blant annet å utvikle en egen offentlig eID for ansatte. Dette kan løse en del av de utfordringene denne veilederen omhandler.

Veilederen bør i større grad formidle nødvendigheten av – og fordelene ved – bruk av eID

Veilederen bør i større grad gi en overordnet beskrivelse av eID og arbeidsgivers behov for bruk av eID. Veilederen bør i større grad få frem den sentrale konteksten på dette området – nemlig at eID i økende grad er nødvendig for utførelse av arbeidsoppgaver, og videre at eID i mange tilfeller også fjerner eller reduserer risiko som ville inntruffet om eID ikke ble brukt. Veilederen bør i større grad formidle at eID er normalt å bruke. Stort sett opplever kommunal sektor dette som uproblematisk i hverdagen, og det kan synes som om veilederen generelt har en for problematiserende tilnærming til dette.

I de fleste tilfeller må spørsmålet om bruk av eID eller ikke vurderes mot mulige alternativer (hvis det finnes). Som regel er ikke alternativene heller fri for risiko. Veilederen utdyper hva som er risikoen ved bruk av eID, men det er et sentralt poeng at også andre løsninger kan innebære risiko for brukeren. Risikoen kan være verre å håndtere enn eID, som jevnt over fremstår å være trygt og forutsigbart. At eID må sammenlignes med alternativene, gjelder også for behandling av personopplysniger.

Et eksempel på at veilederen kan oppfattes for problematiserende, er avsnitt 2.4, hvor det uttrykkes at det «oppleves utfordringer knyttet til signering av avtaler i forbindelse med tjeneste- og varekjøp i offentlig sektor». Vi er ikke kjent med at dette er oppfattet som noen generell utfordring. Videre uttrykker veilederen at enkelte ansatte signerer avtaler «med privat eID, altså som privatperson, uten at det er en direkte knytning til rollen den offentlig ansatte har i virksomheten». Etter vårt syn innebærer ikke signering med eID at dette uten videre skjer som privatperson. Ved fysiske signaturer er det til sammenligning ikke til å unngå at en ansatt signerer med sitt personlige navnetrekk. Dette innebærer likevel ikke at vedkommende signerer som privatperson. Misforståelsen synes å stamme fra behovsanalysen som er gjennomført i forkant. Veilederen bør bidra til å oppklare slike misforståelser.

Arbeidsgivers styringsrett er videre enn veilederen antyder

Veilederen drøfter under punkt 5.1. spørsmålet om arbeidsgiver kan benytte styringsretten for å pålegge bruk av privat eID. Videre gir veilederen under punkt 5.4 (særlig steg 3) anvisning på fremgangsmåte og momenter til vurdering for at offentlige arbeidsgivere kan vurdere om arbeidsgivers styringsrett kan hjemle pålegg til ansatte om bruk av privat eID i arbeidet.

KS har tidligere i prosessen med utarbeidelsen av veilederen sendt direktoratet skriftlige innspill på vårt syn på omtalen styringsretten (se vedlegg 1). Dette er slik vi oppfatter det til dels tatt hensyn til. Vi mener likevel veilederen kan bli bedre på dette punkt. Vi vil særlig fremheve følgende:

Overskriften til punkt 5.1. gjelder om arbeidsgiver kan benytte styringsretten for å pålegge bruk av privat eID. Innholdet bør konsentrere seg om dette spørsmålet. Man bør stryke eller flytte de delene som omhandler frivillig bruk av privat eID. Spørsmålet om styringsrett gjelder nettopp de tilfeller hvor arbeidstaker ikke frivillig ønsker å bruke eID.
Veilederen uttaler at «det er viktig at arbeidsgiver er oppmerksom på at adgangen til å pålegge bruk av private eiendeler i arbeidssituasjonen (…) synes å være snever», og at det derfor antas at arbeidsgiver «må ha gode grunner for at et slikt pålegg anses å ligge innenfor styringsretten». Vi oppfatter ikke uttalelsene som uriktige, men veilederen fokuserer i sin oppsummering kun på motargumentene mot at slike pålegg er innenfor styringsretten. Dette kan i praksis føre til at handlingsrommet fremstår eller oppfattes snevrere enn hva som er tilfelle.
Når det gjelder argumentene for at slike pålegg er innenfor styringsretten, så viser vi til vår vurdering i vedlegg 1. Vi viser særlig til at både samfunnsutviklingen, en konkret interesseavveining og miljøhensyn for at arbeidsgiver i en viss utstrekning må kunne gi pålegg om bruk av privat mobiltelefon. Vi vektlegger i denne sammenheng at det ikke kan anses særlig byrdefullt å pålegge bruk av privat mobiltelefon. Det er tale om en personlig eiendel som de aller fleste arbeidstakere tar med seg og har tilgjengelig gjennom arbeidsdagen. Utviklingen så langt er at arbeidstakere etter vårt inntrykk i all hovedsak opplever dette som uproblematisk. Etter vårt syn vil det derfor normalt (i hvert fall når vi taler om kommunal sektor) være adgang for arbeidsgiver til å pålegge bruk av privat eID når dette er nødvendig for å gjennomføre arbeidsoppgaver, selv om det forutsetter bruk av arbeidstakernes personlige mobiltelefon.
Den konkrete veiledning under punkt 5.4, steg 3 er også etter vårt syn generelt for snever i beskrivelsen av arbeidsgivers styringsrett. Det er blant annet uttalt at «dersom arbeidstaker nekter bruk av slik privat utstyr, bør arbeidsgiver være tilbakeholden med å anvende styringsretten og vurdere andre alternativer». Utsagnet passer prinsipielt ikke inn i en veileder med et deskriptivt siktemål. God og effektiv bruk av digitale løsninger i offentlig sektor gjør det videre tidvis nødvendig å bruke styringsretten ovenfor ansatte.
Rekkefølgen på momentene i de fem siste kulepunkter under punkt 5.4, steg 3 bør endres. Samfunnsutviklingen og stillingstype er sentrale momenter etter praksis fra Høyesterett, og bør komme først.

Så langt vi kjenner til, er det ikke gjort noen generell kartlegging av hvor stor andel av arbeidstakere i dag som bruker privat eID sammenlignet med en egen eID til arbeidsforholdet. Vårt inntrykk er imidlertid at den helt klare normalen er at ansatte bruker sin alminnelige, private eID også ved behov for eID i arbeidsforholdet. Stort sett synes dette å være uproblematisk for det store flertallet av ansatte. Veilederen bør legge til rette for at denne positive utviklingen kan fortsette.

For øvrig kan det være mer hensiktsmessig at veilederen er åpen om at spørsmålet om styringsrett rettslig sett er noe uavklart. Dersom man i stedet trekker opp for snevre rammer av forsiktighetshensyn, kan dette virke negativt på offentlige arbeidsgivere, og på en god digitalisering av offentlig sektor.

Vi understreker avslutningsvis for ordens skyld at det er påkrevd at veilederen på dette punkt begrenser seg til den tilsiktede rent deskriptive rolle. Staten kan ikke sette grenser for kommuners styringsrett som arbeidsgivere uten gjennom lovvedtak.

Nærmere om veilederens personvernrettslige sider

Veilederens kapittel 6 har tittelen «Dette bør arbeidsgiver vurdere – Personvernet til arbeidstaker». Vi oppfatter kapittel 6 hovedsakelig som innholdsmessig dekkende og relevant. Et vesentlig hovedbudskap i kapitlet synes å være at personvernregelverket gir rom for bruk av både privat eID og arbeidsgivers egen eID i et arbeidsforhold. Dette forutsetter samtidig at arbeidsgiver har gjort nødvendige vurderinger i forkant, og at arbeidsgiver har vurdert og eliminert unødvendig risiko for sikkerhetsbrudd. Etter vårt syn er det hensiktsmessig å uttrykkelig formulere et slikt hovedbudskap innledningsvis i kapitlet.

Vi oppfatter videre at veilederen ikke er tydelig på i hvilken grad arbeidsgivers vurderinger kan gjøres generelt og på forhånd, i stedet for knyttet til overfor den enkelte arbeidstaker, eller den enkelte hendelse hvor eID faktisk benyttes. Dette bør klargjøres bedre. En effektiv og god bruk av digitale verktøy i offentlig sektor forutsetter at arbeidsgivere kan håndtere disse spørsmål på en mest mulig enkel og effektiv måte. Vi mener derfor den personvernrettslige veiledningen bør være mer innrettet mot konkrete og operative råd til offentlige arbeidsgivere.

Nærmere om veilederens kapittel om informasjon til arbeidstaker

I tråd med innspillene ovenfor, mener vi også det er behov for tilpasninger i veilederen kapittel 4 om informasjon til arbeidstaker.

Kapittel 4 har et punkt om informasjon om kostnader ved bruk av eID i arbeidet og kostnadsfordelingen mellom arbeidsgiver og arbeidstaker. Punktene går her etter vår oppfatning nokså langt i å forutsette at arbeidsgiver ikke har styringsrett til å pålegge bruk av privat eID, og skaper til dels en viss forventning om at arbeidsgivere kan måtte skaffe en egen mobiltelefon for at ansatte skal benytte eID i arbeidet.

På siste kulepunkt knyttet til kostnadsfordeling er det videre uttalt at det bør også gis informasjon om eventuell kompensasjon for det tilfellet at arbeidstaker ønsker å benytte en eksisterende eID i arbeidet, som ikke innebærer noen nyanskaffelse for arbeidsgiver. Selv om det ikke er noen generell regel for slik kompensasjon, så vil ansattes bruk av privat eID normalt kunne være en fordel for arbeidsgiver. Avhengig av omstendighetene ved det konkrete arbeidsforholdet kan det antas at dette er noe arbeidstaker vil forvente kompensasjon for. Når det gjelder dette punktet mener vi at det ikke er naturlig at veilederen uttaler noe om hva arbeidstaker vil forvente kompensasjon for.

Generelt er det etter vårt syn ikke nødvendig eller hensiktsmessig at kapittel 4 går inn på den informasjon som skal gis om kostnadsfordelingen. Dersom arbeidsgivere etablerer egen eID, er det opplagt at denne kostnaden bæres av arbeidsgiver. Dersom arbeidsgivere baserer seg på bruk av privat eID – i tråd med det som fremstår som vanlig praksis i dag – er det ikke klare arbeidsrettslige holdepunkter for at dette arbeidsrettslig krever en kostnadsdeling. Det fremstår derfor ikke naturlig at en deskriptiv veileder antyder slike løsninger.

Forholdet til foreslått nasjonal strategi for eID

behov for eID for alle brukergrupper på riktig sikkerhetsnivå
behovet for en løsning der ulike typer representasjonsforhold kan ivaretas på en god måte
behov for en egen eID for ansatte

Øvrige forhold

Vi har følgende merknader til andre forhold i høringen:

Det bør klargjøres om punkt 4.3. gjelder både for privat eID og ansatt eID. 4.3. bør også få frem vurderingene knyttet til alternativene for eID for ansatte og arbeidsgiver, og hva som er tilleggsrisiko ved slike alternativer. Mulighetene eID gir for å redusere risiko for virksomheten og ansatte bør også formidles godt. Punktet om arbeidsgivers ansvar er for øvrig relevant også for andre innloggingsmuligheter. Generelt er det grunn til å tro at eID medfører redusert risiko for at en arbeidstaker uaktsomt benytter en annens innloggingsløsning når flere personer jobber på delte enheter.
Det fremgår av høringslisten at Oslo, Bergen og Trondheim er de eneste kommunene som er høringsinstanser. Alle kommuner i Norge er berørt av veilederen. Samtlige kommuner burde derfor vært høringsinstanser i denne høringen.

Avslutning

Vi takker for muligheten til å gi innspill i denne høringen. Vi takker også Digitaliseringsdirektoratet for å åpne for innspill tidligere i prosessen. Vi er tilgjengelige dersom departementet eller direktoratet har spørsmål til vårt høringssvar.