1. Starte og drive bedrift
  2. Nyheter - starte og drive
  3. Har du satt bort bestilling av HMS-kort? Vær oppmerksom!

Har du satt bort bestilling av HMS-kort? Vær oppmerksom!

Har din virksomhet gitt fullmakt til en leverandør av bestillingstjenester av HMS-kort? Om du har gitt fra deg innlogginginformasjon kan det i verste fall få konsekvenser for sikkerhet, personvern og kostnader.

Sist oppdatert 24.03.2025
 

– Når du gir fra deg fullmakt til å logge inn og bestille HMS-kort på vegne av virksomheten, er det viktige ting du må være klar over. Bruk av tredjepartsleverandører kan nemlig innebære risikoer knyttet til sikkerhet og personvern og økte kostnader., sier seksjonsleder Bente Merethe Skjetne, avdelingsdirektør i Arbeidstilsynet. 

– Vi har blitt gjort oppmerksomme på at det er virksomheter som har gitt fullmakt i HMS-kortløsningen til tredjepartsleverandører og vi ønsker å be virksomheter være veldig bevisste når de gjør dette. Med slik fullmakt kan leverandøren få tilgang til personopplysninger om ansatte, endre kontaktinfo for virksomheten og ta en pris langt over hva et HMS-kort i utgangspunktet koster, sier Skjetne.

Dersom dette gjelder din virksomhet anbefaler vi at du logger deg inn på hms-kort.no og kontrollerer at ingen uvedkommende har tilgang til å bestille HMS-kort på vegne av selskapet og at kontaktinformasjon til selskapet er korrekt.

BankID skal ikke deles

Enkelte tredjepartsleverandører bruker innloggingsider som utgir seg for å være pålogging med BankID: med andre ord en falsk BankID-side der de henter inn påloggingsinformasjonen. Denne påloggingsinformasjonen brukes for å gi tredjepartsleverandøren fullmakt til å bestille HMS-kort på vegne av virksomheten i Arbeidstilsynets sin bestillingsportal for HMS-kort.

– Vi oppfordrer virksomheter til å aldri dele BankID med noen. All informasjon som legges inn når de bruker BankID, inkludert fødselsnummer og passord, kan potensielt bli lest og lagret av tredjepartsleverandøren, sier Skjetne.

Ansvaret for personvern ligger hos virksomheten

Når en tredjepartsleverandør får fullmakt til å bestille HMS-kort på vegne av virksomheten, får de også tilgang til persondata om ansatte. Virksomheten er selv ansvarlig for at personopplysninger som blir delt, behandles i henhold til personvernregelverket. Det må inngås en databehandleravtale mellom virksomheten og tredjepart dersom tredjepart skal ha tilgang til personopplysninger til virksomhetens ansatte.  

Når oppgaver som involverer personopplysninger delegeres til en tredjepart, er det viktig å evaluere leverandørens rutiner for håndtering av personopplysninger og sikkerhet. 

Feil kontaktinformasjon

– Vi har observert at enkelte tredjepartsleverandører endrer kontaktinformasjon for virksomheten i HMS-kortløsningen, sier seksjonsleder Skjetne.  

Dette kan føre til at viktig informasjon fra Arbeidstilsynet, inkludert varsler om utløpstid, manglende betaling eller og annen relevant informasjon, ikke når frem til virksomheten eller brukerne av HMS-Kort.

Kan bli dyrere

HMS-kort som bestilles på https://hmskort.no/ koster kroner 132,90 + mva per stykk. Tredjepartsleverandører som leverer bestillingstjenester av HMS-kort kan ta godt over 600 kroner per kort.

Ved bruk av fullmakt for bestilling av HMS-kort er det virksomheten selv som er økonomisk ansvarlig for ordren. Hvis tredjepartsleverandører ikke betaler for ordren, vil virksomheten holdes økonomisk ansvarlig.

Anbefaling

Dersom dere har delegert ansvaret for HMS-kort til en tredjepart, husk å:

  • Kontroller at ingen uvedkommende har tilgang til å bestille HMS-kort på vegne avvirksomheten og at kontaktinformasjon til selskapet er korrekt:
    1. Logg inn på https://hmskort.no/og velg virksomheten du administrerer.
    2. Klikk "Virksomhet" i menyen øverst på skjermen.
    3. Velg "tilganger" i menyen til venstre.
    4. Fjern personer som ikke skal ha tilgang.
    5. Klikk på brukerikonet i menyen øverst på skjermen.
    6. Velg "Brukerprofil".
    7. Kontroller at "Kontaktinfo" er korrekt.
  • Sørg for at din virksomhet har databehandleravtale med tredjepart
  • Aldri del BankID påloggingsdetaljer, f.eks. engangskoder eller passord
  • Kontroller at tredjepart har rutiner for håndtering av personopplysninger
  • Få en detaljert oversikt over hva tjenesten leverandøren tilbyr innebærer, og hvilke kostnader som medfølger.

Det er Tietoevry ved Evry Card Services AS som drifter hmskort.no på vegne av Arbeidstilsynet.

Arbeidstilsynet om HMS-kort

Åpne kontaktskjema