Hvis innloggingsinformasjon har blitt delt, kan dette gi alvorlige negative konsekvenser for sikkerheten, personvernet og kostnader.

Når en bedrift gir fullmakt til en tredjepartsleverandør for å logge på og bestille HMS-kort på sine vegne, oppstår det flere risikoer:

• Sikkerhet og personvern: Leverandøren får tilgang til ansattes personlige opplysninger og kan endre selskapets kontaktdetaljer.
• Økte kostnader: Tredjepartsleverandører kan ta betydelig mer for HMS-kort enn den offisielle prisen.

Bente Merethe Skjetne, fungerende avdelingsdirektør ved Arbeidstilsynet, understreker behovet for bedrifter å være forsiktige når de gir slike tillatelser.

Arbeidstilsynet advarer om at enkelte tredjepartsleverandører bruker innloggingssider som etterligner BankID, altså falske sider laget for å samle inn påloggingsinformasjon.

Denne informasjonen kan deretter brukes til å gi tredjepartsleverandøren fullmakt til å bestille HMS-kort på vegne av virksomheten i Arbeidstilsynets bestillingsportal.

Det understrekes at virksomheter aldri bør dele BankID med noen. All informasjon som legges inn ved bruk av BankID, inkludert fødselsnummer og passord, kan potensielt bli lest og lagret av uvedkommende.

Arbeidstilsynet påpeker at når en tredjepartsleverandør får fullmakt til å bestille HMS-kort på vegne av virksomheten, får de også tilgang til persondata om ansatte. Virksomheten er selv ansvarlig for at personopplysninger som blir delt, behandles i henhold til personvernregelverket. Det må inngås en databehandleravtale mellom virksomheten og tredjepart dersom tredjepart skal ha tilgang til personopplysninger til virksomhetens ansatte.

Når oppgaver som involverer personopplysninger delegeres til en tredjepart, er det viktig å evaluere leverandørens rutiner for håndtering av personopplysninger og sikkerhet.

– Vi har observert at enkelte tredjepartsleverandører endrer kontaktinformasjon for virksomheten i HMS-kortløsningen, sier seksjonsleder Skjetne.

Dette kan føre til at viktig informasjon fra Arbeidstilsynet, inkludert varsler om utløpstid, manglende betaling eller og annen relevant informasjon, ikke når frem til virksomheten eller brukerne av HMS-Kort.

HMS-kort som bestilles på https://hmskort.no/ koster kroner 132,90 + mva per stykk. Tredjepartsleverandører som leverer bestillingstjenester av HMS-kort kan ta godt over 600 kroner per kort.

Ved bruk av fullmakt for bestilling av HMS-kort er det virksomheten selv som er økonomisk ansvarlig for ordren. Hvis tredjepartsleverandører ikke betaler for ordren, vil virksomheten holdes økonomisk ansvarlig.

Dersom dere har delegert ansvaret for HMS-kort til en tredjepart, husk å:

• Kontroller at ingen uvedkommende har tilgang til å bestille HMS-kort på vegne avvirksomheten og at kontaktinformasjon til selskapet er korrekt:
  1. Logg inn på https://hmskort.no/og velg virksomheten du administrerer.
  2. Klikk «Virksomhet» i menyen øverst på skjermen.
  3. Velg «tilganger» i menyen til venstre.
  4. Fjern personer som ikke skal ha tilgang.
  5. Klikk på brukerikonet i menyen øverst på skjermen.
  6. Velg «Brukerprofil».
  7. Kontroller at «Kontaktinfo» er korrekt.
  • Sørg for at din virksomhet har databehandleravtale med tredjepart
  • Aldri del BankID påloggingsdetaljer, f.eks. engangskoder eller passord
  • Kontroller at tredjepart har rutiner for håndtering av personopplysninger
  • Få en detaljert oversikt over hva tjenesten leverandøren tilbyr innebærer, og hvilke kostnader som medfølger.

Det er Tietoevry ved Evry Card Services AS som drifter hmskort.no på vegne av Arbeidstilsynet.

Les mer om hva HMS-kort er, hvem som skal ha det og hvordan det kan bestilles.

Denne artikkelen er hentet fra arbeidstilsynet.no