
Bestilt HMS kort av en tredjepart?
Mange virksomheter velger å bruke eksterne leverandører for bestilling av HMS-kort. Men å gi slike aktører tilgang til å bestille kort på dine vegne kan ha uventede konsekvenser – både for sikkerhet, personvern og økonomi.
Risiko ved å dele innloggingsinformasjon
Dersom virksomheten har delt sin innloggingsinformasjon, for eksempel BankID-detaljer, med en tredjepartsleverandør, kan det få alvorlige følger. Noen leverandører bruker til og med falske påloggingssider for å samle inn disse opplysningene. Dette gir dem mulighet til å bestille HMS-kort i ditt navn og endre kritisk informasjon, som kontaktinformasjon for virksomheten.
Viktig: Du skal aldri dele BankID-detaljer med noen – hverken fødselsnummer, passord eller engangskoder.
Fullmakt gir tilgang til mer enn bare bestilling
Når en tredjepartsleverandør gis fullmakt i HMS-kortløsningen, får de ikke bare mulighet til å bestille kort – de kan også få tilgang til personopplysninger om ansatte og gjøre endringer som kan påvirke kommunikasjonen mellom Arbeidstilsynet og virksomheten.
– Vi har sett eksempler på at leverandører endrer kontaktinformasjonen til virksomheten. Dette kan føre til at viktig informasjon ikke når frem, sier Bente Merethe Skjetne, seksjonsleder i Arbeidstilsynet.
Økonomisk ansvar og skjulte kostnader
Bestiller du HMS-kort direkte via hmskort.no, koster hvert kort 132,90 kroner + mva. Enkelte tredjepartsleverandører tar imidlertid flere hundre kroner ekstra per kort. Selv om du bruker en ekstern aktør, er det fortsatt virksomheten som står økonomisk ansvarlig dersom betalingen uteblir.
Personvernet er virksomhetens ansvar
Når personopplysninger deles med en tredjepart, er det du som arbeidsgiver som er ansvarlig for at disse håndteres i tråd med personvernforordningen (GDPR). Det krever at det inngås en databehandleravtale med leverandøren, og at deres rutiner for sikkerhet og behandling av data er tilfredsstillende.
Slik sjekker du hvem som har tilgang til å bestille HMS-kort
For å sikre at kun autoriserte personer kan bestille HMS-kort på vegne av din virksomhet, bør du gjøre følgende:
-
Gå til hmskort.no og logg inn.
-
Velg virksomheten du administrerer.
-
Klikk på “Virksomhet” i toppmenyen.
-
Gå til “Tilganger” i menyen til venstre.
-
Fjern brukere som ikke lenger skal ha tilgang.
-
Klikk på brukerikonet i toppmenyen og velg “Brukerprofil”.
-
Kontroller at kontaktinformasjonen for virksomheten er korrekt.
Anbefalinger til virksomheter som bruker tredjepartsleverandører
-
Sørg for at du har en skriftlig databehandleravtale.
-
Del aldri BankID-opplysninger – dette er personlig og skal kun brukes av deg.
-
Undersøk hvilke sikkerhetsrutiner leverandøren har for persondata.
-
Be om en full oversikt over tjenesten, inkludert alle kostnader og hva som faktisk leveres.
Å bruke tredjepartsleverandører kan være praktisk, men det er viktig å være klar over risikoene. Sørg for at både sikkerhet og personvern blir ivaretatt, og at du har full kontroll over hvem som kan representere din virksomhet.
Kilde: Arbeidstilsynet