Høringssvar fra Bergen kommune
Bergen kommune takker for muligheten til å komme med innspill til utkastet til veileder for bruk av eID for ansatte i offentlig forvaltning. I høringsbrevet ber Kommunal- og distriktsdepartementet (KDD) spesifikt om innspill til om arbeids- og personvernrettslige temaer er behandlet på en forståelig måte i veilederen.
Behovet for gode identifiseringsløsninger for ansatte i kommunal sektor er stort. Det haster etter hvert også å få dette på plass. Uten en god nasjonal fellesløsning, vil det bli nødvendig for kommuner som Bergen å utvikle en egen løsning som kan dekke dette behovet. Det vil øke kompleksiteten, og følgelig også sårbarheten, i kommunenes systemarkitektur, særlig når det gjelder tjenester på tvers av kommunegrenser eller forvaltningsnivåer. En veileder for bruk av eID i offentlig forvaltning vil derfor kun delvis hjelpe kommunesektoren med de utfordringene som vi står overfor på dette området. Bergen kommunes høringsinnspill må derfor leses med dette som utgangspunkt.
Behovet for gode identifiseringsløsninger for ansatte i kommunal sektor er stort. Det haster etter hvert også å få dette på plass. Uten en god nasjonal fellesløsning, vil det bli nødvendig for kommuner som Bergen å utvikle en egen løsning som kan dekke dette behovet. Det vil øke kompleksiteten, og følgelig også sårbarheten, i kommunenes systemarkitektur, særlig når det gjelder tjenester på tvers av kommunegrenser eller forvaltningsnivåer. En veileder for bruk av eID i offentlig forvaltning vil derfor kun delvis hjelpe kommunesektoren med de utfordringene som vi står overfor på dette området. Bergen kommunes høringsinnspill må derfor leses med dette som utgangspunkt.
Generelle kommentarer til dokumentet
Departementet skriver i sitt høringsbrev at veilederen skal ses i sammenheng med mål 3, tiltak 3, i ny strategi for eID i offentlig sektor. Etter Bergen kommunes mening, svarer ikke veilederen fullt ut dette tiltaket. Det ville styrket veilederen, dersom den, i tråd med mål 3, redegjorde for hvordan offentlig forvaltning skal innrette og implementere autentiseringsløsninger. Slik utkastet til veileder foreligger, redegjør den for eksisterende (private) alternativer. Bergen kommune mener at det ikke er en motsetning i å lage en deskriptiv veileder som samtidig tydeliggjør rammene for offentlige virksomheters bruk. Dersom det i videre arbeidet likevel ønskes å fokusere på privat e-ID, bør veilederen tydelig peke på hvilke løsninger som eventuelt anbefales i offentlig forvaltning.
Bergen kommune savner en tydelig veiledning på om, og hvordan, ansatt-eID skal tas i bruk i offentlig forvaltning. Det bør også fremkomme hvilke aktører som er relevante i utviklingen og løsningen av behovet for ansatt e-ID. Som følge av dette, tror Bergen kommune at det hadde vært mer hensiktsmessig om veilederen i hovedsak fokuserer på offentlig forvaltning som arbeidsgiver. Problemstillingene tilknyttet ulike løsninger må utredes før det kan gis konkret anbefaling til den enkelte arbeidstaker. Ved at en så stor del av teksten rettes mot arbeidstaker, svarer ikke veilederen ut hvordan offentlig forvaltning skal løse problemstillingene tilknyttet autentisering og e-ID. Slik mye av innholdet er formulert, vil det kunne medføre krevende vurderinger i enkelte virksomhet, samt uklarheter for både arbeidstaker og arbeidsgiver knyttet til lovlighet, ansvarsforhold og risiko.
De vurderingene som beskrives og anbefales i veilederen, medfører kostnads-, kompetanse- og tidskrevende vurderinger for den enkelte virksomhet. Dersom veilederen innrettes mot hvordan offentlig forvaltning skal løse behovet, og at det er et ønske at dette gjøres tilnærmet likt i forvaltningen, bør flere av vurderingene løses i fellesskap. Bergen kommune mener at det bør være et mål at alle ansatte i offentlig forvaltning tilbys de samme løsningene, og at arbeidstakers rettigheter blir ivaretatt like godt i alle deler av forvaltningen.
Bergen kommune mener at sjekklisten i utgangspunktet er et godt tiltak. Denne ville bli enda bedre dersom den også fikk tydelig frem hvilke vurderinger som bør utføres innenfor informasjonssikkerhet og personvern. I tillegg bør anskaffelser inngå i sjekklisten.
Bergen kommune savner en tydelig veiledning på om, og hvordan, ansatt-eID skal tas i bruk i offentlig forvaltning. Det bør også fremkomme hvilke aktører som er relevante i utviklingen og løsningen av behovet for ansatt e-ID. Som følge av dette, tror Bergen kommune at det hadde vært mer hensiktsmessig om veilederen i hovedsak fokuserer på offentlig forvaltning som arbeidsgiver. Problemstillingene tilknyttet ulike løsninger må utredes før det kan gis konkret anbefaling til den enkelte arbeidstaker. Ved at en så stor del av teksten rettes mot arbeidstaker, svarer ikke veilederen ut hvordan offentlig forvaltning skal løse problemstillingene tilknyttet autentisering og e-ID. Slik mye av innholdet er formulert, vil det kunne medføre krevende vurderinger i enkelte virksomhet, samt uklarheter for både arbeidstaker og arbeidsgiver knyttet til lovlighet, ansvarsforhold og risiko.
De vurderingene som beskrives og anbefales i veilederen, medfører kostnads-, kompetanse- og tidskrevende vurderinger for den enkelte virksomhet. Dersom veilederen innrettes mot hvordan offentlig forvaltning skal løse behovet, og at det er et ønske at dette gjøres tilnærmet likt i forvaltningen, bør flere av vurderingene løses i fellesskap. Bergen kommune mener at det bør være et mål at alle ansatte i offentlig forvaltning tilbys de samme løsningene, og at arbeidstakers rettigheter blir ivaretatt like godt i alle deler av forvaltningen.
Bergen kommune mener at sjekklisten i utgangspunktet er et godt tiltak. Denne ville bli enda bedre dersom den også fikk tydelig frem hvilke vurderinger som bør utføres innenfor informasjonssikkerhet og personvern. I tillegg bør anskaffelser inngå i sjekklisten.
Veilederens oppbygning og struktur
Det fremkommer ikke tydelig i høringsbrevet om utkastet som er sendt på høring kun er et manus til en webbasert, dynamisk veileder, eller om den også skal kunne leses som en sammenhengende veileder slik den foreligger. Dokumentet Bergen kommune har fått til gjennomlesning er informasjonstungt, og måten informasjonen blir bygget opp og presentert i kapitlene gir dårlig flyt for leseren. Det er mye tekst, mange detaljer og inngående forklaringer før vi kommer til det vi oppfatter som selve kjernen; det som arbeidstaker og arbeidsgiver må vite om bruk av eID i offentlig forvaltning.
På generelt grunnlag bidrar strukturen i veilederen til å skape uklarhet rundt hvilke regler som egentlig gjelder ved bruk av autentiseringsløsninger. Flere og til dels overlappende tema behandles flere plasser i veilederen, og det er uklart hva som egentlig er kravene ved bruk av autentiseringsløsninger, og hvordan offentlige myndigheter skal forholde seg til dem. Dette gjelder både arbeidsrettslig og personvernrettslig. Etter som dette er en veileder som skal publiseres på nett, er det vanskelig å vite hvordan struktur og rekkefølge i dokumentet fungerer i praksis. Dette kan gjerne fremstå annerledes og mer intuitivt når informasjonen blir presentert på en nettside. Bergen kommune ønsker likevel å understreke at, avhengig av hvem som er målgruppen, vil ulike deler av dokumentet være relevant for ulike lesere. Det er derfor viktig at det er enkelt å navigere i veilederen, og at informasjon som er relevant for de ulike målgruppene (ansatte, arbeidsgivere, eID-leverandører osv.) blir presentert med en struktur og sammenheng som tydelig får frem hvilken informasjon som er aktuell for hver gruppe.
Bergen kommune tror at dokumentet hadde fungert bedre som veileder dersom kapittel 3 – Regler og krav for bruk av eID ble flyttet lenger bak. Der kapittel 2, 4, 5 og 6 retter seg direkte til målgruppene med relevant informasjon, leses kapittel 3 mer som en kilde til mer informasjon for den som har behov eller er interessert.
På generelt grunnlag bidrar strukturen i veilederen til å skape uklarhet rundt hvilke regler som egentlig gjelder ved bruk av autentiseringsløsninger. Flere og til dels overlappende tema behandles flere plasser i veilederen, og det er uklart hva som egentlig er kravene ved bruk av autentiseringsløsninger, og hvordan offentlige myndigheter skal forholde seg til dem. Dette gjelder både arbeidsrettslig og personvernrettslig. Etter som dette er en veileder som skal publiseres på nett, er det vanskelig å vite hvordan struktur og rekkefølge i dokumentet fungerer i praksis. Dette kan gjerne fremstå annerledes og mer intuitivt når informasjonen blir presentert på en nettside. Bergen kommune ønsker likevel å understreke at, avhengig av hvem som er målgruppen, vil ulike deler av dokumentet være relevant for ulike lesere. Det er derfor viktig at det er enkelt å navigere i veilederen, og at informasjon som er relevant for de ulike målgruppene (ansatte, arbeidsgivere, eID-leverandører osv.) blir presentert med en struktur og sammenheng som tydelig får frem hvilken informasjon som er aktuell for hver gruppe.
Bergen kommune tror at dokumentet hadde fungert bedre som veileder dersom kapittel 3 – Regler og krav for bruk av eID ble flyttet lenger bak. Der kapittel 2, 4, 5 og 6 retter seg direkte til målgruppene med relevant informasjon, leses kapittel 3 mer som en kilde til mer informasjon for den som har behov eller er interessert.
Klarspråk og begrep
Slik Bergen kommune leser det, er formålet med veilederen er at arbeidsgivere og arbeidstakere skal ha tilgang til oversiktlig og forståelig informasjon om bruk av eID i offentlig forvaltning. Dette skal være en veileder for personer som i utgangspunktet ikke har inngående kjennskap til eID, og som heller ikke nødvendigvis er jurister eller offentlige saksbehandlere. Bergen kommune vil derfor oppfordre departementet til å vurdere om det er mulig å forenkle språket og redusere antall ord, uten at mening eller innhold forsvinner.
Bergen kommune ønsker å peke på viktigheten av konsistent begrepsbruk i teksten. Begrepsbruken er tidvis uklar, og det er også på en rekke punkter uklart om veilederen omtaler ansatt eID, privat eID eller begge deler. For eksempel blir forkortelsen eID definert eller forklart på flere ulike måter i dokumentet:
• elektronisk identifikasjon (eID)
• elektronisk ID (eID)
• elektronisk identifikasjonsmiddel (eID)
• elektronisk identitetsbevis (eID)
Bergen kommune ønsker å peke på viktigheten av konsistent begrepsbruk i teksten. Begrepsbruken er tidvis uklar, og det er også på en rekke punkter uklart om veilederen omtaler ansatt eID, privat eID eller begge deler. For eksempel blir forkortelsen eID definert eller forklart på flere ulike måter i dokumentet:
• elektronisk identifikasjon (eID)
• elektronisk ID (eID)
• elektronisk identifikasjonsmiddel (eID)
• elektronisk identitetsbevis (eID)
Personvernrettslige temaer
Med hensyn til personvern, kunne veilederen med fordel tydeliggjort problemstillinger knyttet til behandlingsansvar og behandlingsgrunnlag. Disse problemstillingene er gitt generell og overordnet omtale i veilederen. For målgruppen til veilederen fremstår det uklart hvilke behandlingsgrunnlag som er riktig og bør benyttes, og hva dette innebærer for behandling av personopplysninger i forbindelse med eID.
Under punktet «Dette bør arbeidstaker være kjent med» (Kapittel 4.3, s. 18) , refereres det ikke til viktigheten av å bevare integritet, sikkerhet og personvern og arbeidstakers plikter tilknyttet dette.
Det vises til at stor bruk og høy utbredelse av eID er et argument for at løsningen(e) kan stoles på og at «… bruk av eID i arbeidet utgjør normalt liten tilleggsrisiko, sett i forhold til bruken i hjemmet og ellers». Utbredt bruk av en tjeneste er ikke nødvendigvis en garanti for tjenestens kvalitet eller sikkerhet, og ordlyden brukt i dette tilfellet kan skape en falsk sikkerhet blant brukere. Bergen kommune vil påpeke at bruken i dag ikke er en risikoreduserende faktor.
Under hva arbeidstaker bør være kjent med, beskrives det at det ved bruk av ansatt-eID vil være en brukeravtale mellom ansatt og eID-leverandør eller mellom eID-leverandør og arbeidsgiver. Videre at det normalt bør fremgå hvilke ansvar og plikter den ansatte har. Dette kan være lite informativt for en arbeidstaker som ønsker å sette seg inn i hvilke eventuelle ansvar og plikter arbeidstaker har. Både virksomheter og ansatte kan dra nytte av konkrete eksempler på ansvar og plikter som kan tilfalle den ansatte, spesielt når dette er en veileder for både virksomheter og ansatte.
I punktet som angår informasjon om restriksjoner (Kapittel 4.3, s. 19), er det beskrevet at ansatte bør informeres om restriksjoner knyttet til bruk av ansatt-eID. Ved bruk av privat eID er det presisert at arbeidsgiver “som utgangspunkt” ikke kan legge restriksjoner på arbeidstakers bruk. Formuleringen åpner for at det finnes situasjoner hvor det vil være legitimt for arbeidsgiver å pålegge restriksjoner på arbeidstakers bruk av privat eID. Bergen kommune ber om at dette punktet presiseres eller utdypes, da vi vanskelig kan se at arbeidsgiver i noe tilfelle vil ha en slik myndighet.
Om emnet informasjonssikkerhet er veilederen forholdsvis kortfattet og henviser i hovedsak til Digitaliseringsdirektoratets hjemmesider. En av hovedhensiktene med eID vil være å bedre informasjonssikkerheten. Bergen kommune mener at, dersom det ikke skal legges føringer for bruk av privat- eller ansatt eID, bør risikoen forbundet med de ulike alternativene skisseres. Etter vår mening vil det være ulik risiko og ulike muligheter for arbeidsgiver og tjenesteeier å påvirke og utbedre sårbarheter, risiko og tiltak.
I veilederen diskuteres definisjon av roller etter GDPR. Diskusjonen kan med fordel utbedres med konkrete vurderinger og flere diskusjoner rundt behandlingsansvar og forskjell på behandlingsansvar, felles behandlingsansvar og et databehandler-forhold. Blant annet presiseres det i utkastet at arbeidsgiver må ha et behandlingsansvar. Bergen kommune tror at det ville være nyttig å utfylle med eksempler på aktuelle behandlingsgrunnlag.
Under pkt. 4.4.1.2 ID-porten, beskrives arbeidsgiver som erstatningsansvarlig eller behandlingsansvarlig etter GDPR artikkel 82. Dette strider mot tidligere påstand om at Digitaliseringsdirektoratet vil være behandlingsansvarlig ved bruk av ID-porten (Eksempel: Bruk av journalsystem i Oslo kommune, s 22). Bergen kommune tror at det ville styrke veilederen dersom den også beskrev hvilke vurderinger som er utført med tilhørende resultat, for å tydeliggjøre hvem som har hvilket ansvar, med hvilket formål og hjemler for behandlingene. Punkt 6.1.1 «Arbeidsgivers behandlingsansvar ved bruk av eID» kommer nærmere inn på dette, med relevante vurderingsmomenter, men også her kan vurderingen gjøres tydeligere og skrives mer ut.
Bergen kommune mener at veilederen bør være tydeligere på at virksomheten selv må vurdere risiko ved behandlingen. Det er ikke slik at eID-løsning alltid er en lavrisiko-løsning, slik veilederen går langt i å implisere. Eksempelvis kan omfanget av behandlingene utløse behov for gjennomføring av en personvernkonsekvensvurdering.
Under punktet «Dette bør arbeidstaker være kjent med» (Kapittel 4.3, s. 18) , refereres det ikke til viktigheten av å bevare integritet, sikkerhet og personvern og arbeidstakers plikter tilknyttet dette.
Det vises til at stor bruk og høy utbredelse av eID er et argument for at løsningen(e) kan stoles på og at «… bruk av eID i arbeidet utgjør normalt liten tilleggsrisiko, sett i forhold til bruken i hjemmet og ellers». Utbredt bruk av en tjeneste er ikke nødvendigvis en garanti for tjenestens kvalitet eller sikkerhet, og ordlyden brukt i dette tilfellet kan skape en falsk sikkerhet blant brukere. Bergen kommune vil påpeke at bruken i dag ikke er en risikoreduserende faktor.
Under hva arbeidstaker bør være kjent med, beskrives det at det ved bruk av ansatt-eID vil være en brukeravtale mellom ansatt og eID-leverandør eller mellom eID-leverandør og arbeidsgiver. Videre at det normalt bør fremgå hvilke ansvar og plikter den ansatte har. Dette kan være lite informativt for en arbeidstaker som ønsker å sette seg inn i hvilke eventuelle ansvar og plikter arbeidstaker har. Både virksomheter og ansatte kan dra nytte av konkrete eksempler på ansvar og plikter som kan tilfalle den ansatte, spesielt når dette er en veileder for både virksomheter og ansatte.
I punktet som angår informasjon om restriksjoner (Kapittel 4.3, s. 19), er det beskrevet at ansatte bør informeres om restriksjoner knyttet til bruk av ansatt-eID. Ved bruk av privat eID er det presisert at arbeidsgiver “som utgangspunkt” ikke kan legge restriksjoner på arbeidstakers bruk. Formuleringen åpner for at det finnes situasjoner hvor det vil være legitimt for arbeidsgiver å pålegge restriksjoner på arbeidstakers bruk av privat eID. Bergen kommune ber om at dette punktet presiseres eller utdypes, da vi vanskelig kan se at arbeidsgiver i noe tilfelle vil ha en slik myndighet.
Om emnet informasjonssikkerhet er veilederen forholdsvis kortfattet og henviser i hovedsak til Digitaliseringsdirektoratets hjemmesider. En av hovedhensiktene med eID vil være å bedre informasjonssikkerheten. Bergen kommune mener at, dersom det ikke skal legges føringer for bruk av privat- eller ansatt eID, bør risikoen forbundet med de ulike alternativene skisseres. Etter vår mening vil det være ulik risiko og ulike muligheter for arbeidsgiver og tjenesteeier å påvirke og utbedre sårbarheter, risiko og tiltak.
I veilederen diskuteres definisjon av roller etter GDPR. Diskusjonen kan med fordel utbedres med konkrete vurderinger og flere diskusjoner rundt behandlingsansvar og forskjell på behandlingsansvar, felles behandlingsansvar og et databehandler-forhold. Blant annet presiseres det i utkastet at arbeidsgiver må ha et behandlingsansvar. Bergen kommune tror at det ville være nyttig å utfylle med eksempler på aktuelle behandlingsgrunnlag.
Under pkt. 4.4.1.2 ID-porten, beskrives arbeidsgiver som erstatningsansvarlig eller behandlingsansvarlig etter GDPR artikkel 82. Dette strider mot tidligere påstand om at Digitaliseringsdirektoratet vil være behandlingsansvarlig ved bruk av ID-porten (Eksempel: Bruk av journalsystem i Oslo kommune, s 22). Bergen kommune tror at det ville styrke veilederen dersom den også beskrev hvilke vurderinger som er utført med tilhørende resultat, for å tydeliggjøre hvem som har hvilket ansvar, med hvilket formål og hjemler for behandlingene. Punkt 6.1.1 «Arbeidsgivers behandlingsansvar ved bruk av eID» kommer nærmere inn på dette, med relevante vurderingsmomenter, men også her kan vurderingen gjøres tydeligere og skrives mer ut.
Bergen kommune mener at veilederen bør være tydeligere på at virksomheten selv må vurdere risiko ved behandlingen. Det er ikke slik at eID-løsning alltid er en lavrisiko-løsning, slik veilederen går langt i å implisere. Eksempelvis kan omfanget av behandlingene utløse behov for gjennomføring av en personvernkonsekvensvurdering.
Arbeidsrettslige temaer
Bergen kommune opplever at veilederen, slik den fremstår i utkastet som er sendt på høring, i for liten grad tar på alvor problemstillingene som fremkommer i pkt. 2.4 behovsanalyser (s. 13) som blant annet omhandler bruk av eID i arbeidsforhold. Veilederen bruker eksempelvis en del plass på å beskrive skillet mellom ansatt- og privat eID. For offentlige arbeidsgivere får man imidlertid ikke tydelige anbefalinger om hvordan problemstillinger knyttet til bruk av privat eID bør håndteres. I stedet gis generelle beskrivelser av problemstillinger man bør ta hensyn til ved bruk av privat eID og/eller privat utstyr. Veilederen burde beskrive om, og i så fall hvor langt, arbeidsgiver kan gå i å pålegge arbeidstakere i å bruke privat eID, og eventuelt om det foreligger noen begrensninger i å pålegge bruke av ansatt eID. Dersom man i veilederen hadde snudd problemstillingen på hodet, nemlig at privat eID er unntaket og kun skal benyttes dersom spesielle forhold taler for en slik løsning og arbeidsplass eID (som skal være hovedregelen), ville det etter Bergen kommunes mening hevet kvaliteten på veilederen betraktelig.
Veilederen burde, slik Bergen kommune ser det, i større grad prøve å møte behovsanalysens resultater, og mye tydeligere vise at det finnes alternative løsninger til privat eID i jobbsammenheng, nemlig arbeidsplass eID. Deretter kunne veilederen vise på en enkel måte hvordan slik eID for arbeidsplasser etableres. Arbeidsgiver bør basere seg i større grad på egne løsninger, og ikke arbeidstakers private eID. Bare da er det tydelig for alle at eID er brukt i arbeidssammenheng og ikke som privatperson, at arbeidstaker forplikter arbeidsgiver og ingen andre.
Veilederen bør også i større grad følge arbeidsrettslig logikk, nemlig at arbeidsgiver bruker løsninger hvor styringsretten er i behold over løsningen og dens anvendelse. Med privat eID har arbeidsgiver ikke styringsrett, og arbeidsgiver kan ikke stille konkrete krav til hvordan en privat eID brukes på privaten, eller hvem bruker deler passord med.
Avtale om bruk av arbeidsplass eID bør være en del av arbeidskontrakten og brudd på denne fører til reaksjoner fra arbeidsgiver.
Veilederen burde, slik Bergen kommune ser det, i større grad prøve å møte behovsanalysens resultater, og mye tydeligere vise at det finnes alternative løsninger til privat eID i jobbsammenheng, nemlig arbeidsplass eID. Deretter kunne veilederen vise på en enkel måte hvordan slik eID for arbeidsplasser etableres. Arbeidsgiver bør basere seg i større grad på egne løsninger, og ikke arbeidstakers private eID. Bare da er det tydelig for alle at eID er brukt i arbeidssammenheng og ikke som privatperson, at arbeidstaker forplikter arbeidsgiver og ingen andre.
Veilederen bør også i større grad følge arbeidsrettslig logikk, nemlig at arbeidsgiver bruker løsninger hvor styringsretten er i behold over løsningen og dens anvendelse. Med privat eID har arbeidsgiver ikke styringsrett, og arbeidsgiver kan ikke stille konkrete krav til hvordan en privat eID brukes på privaten, eller hvem bruker deler passord med.
Avtale om bruk av arbeidsplass eID bør være en del av arbeidskontrakten og brudd på denne fører til reaksjoner fra arbeidsgiver.
Innspill til ofte stilte spørsmål
• Når anbefales det å benytte eID?
• Hva er fordelene ved å bruke eID?
• Hvordan vurderer man riktig sikkerhetsnivå?
• Når kan arbeidsgiver pålegge arbeidstaker å benytte privat eID?
• Hvilke rettigheter har arbeidstaker ved bruk av privat eID?
• Hvordan skal arbeidstaker velge riktig eID-leverandør?
• Er bruk av eID et risikoreduserende tiltak?
• Vil bruk av eID kvalifisere som en behandling av personopplysninger?
• Hva er fordelene ved å bruke eID?
• Hvordan vurderer man riktig sikkerhetsnivå?
• Når kan arbeidsgiver pålegge arbeidstaker å benytte privat eID?
• Hvilke rettigheter har arbeidstaker ved bruk av privat eID?
• Hvordan skal arbeidstaker velge riktig eID-leverandør?
• Er bruk av eID et risikoreduserende tiltak?
• Vil bruk av eID kvalifisere som en behandling av personopplysninger?