§ 6.7 Personkontroll
KBO-enheter skal gjennomføre en bakgrunnssjekk av personer før ansettelse.
KBO-enheter kan kreve at personer som skal få tilgang til anlegg, system eller annet i klasse 2 og 3 skal fremlegge kredittsjekk.
KBO-enheter skal før de fremsetter krav etter annet ledd foreta en risikovurdering. Kredittsjekk skal ikke anvendes dersom det kan iverksettes andre egnede sikkerhetstiltak.
Bakgrunnssjekken etter første og annet ledd skal brukes som grunnlag for å vurdere en persons egnethet til å få tilgang til klassifiserte anlegg, system eller annet. Kredittsjekk skal slettes når egnethetsvurderingen er gjennomført.
Krav om personkontroll etter første til fjerde ledd gjelder ikke personer som er sikkerhetsklarert og autorisert etter den til enhver tid gjeldende lov om nasjonal sikkerhet (sikkerhetsloven).
Beredskapsmyndigheten kan etter søknad gi unntak fra kravene i første til fjerde ledd i denne bestemmelsen. Beredskapsmyndigheten kan ved vedtak fastsette krav om bakgrunnssjekk etter første til fjerde ledd for bestemte anlegg, system og annet.
Ordforklaring
Bakgrunnssjekk | Bakgrunnssjekk er prosessen med å innhente, sammenligne og dokumentere informasjon om en person for å bekrefte eller avkrefte det personen selv opplyser. Bakgrunnssjekk består av identitetskontroll, verifisering av utdanning og arbeidserfaring, søk i adresseregistre og andre åpne kilder, sjekk av næringsinteresser og eventuelt kredittsjekk. Full bakgrunnssjekk vil si at alle ovennevnte elementer inngår; merk at kredittsjekk ikke er nødvendig i full bakgrunnssjekk. |
Egnethetsvurdering | Helhetsvurdering av om en person er egnet for tilsetting eller tilgang. |
Kredittsjekk | Kontroll og vurdering av kredittverdigheten og betalingsevnen for en person. Kredittsjekk er en tjeneste som selges av kredittopplysningsbyråer, og er det samme som kredittvurdering. |
Hvordan oppfylle kravet
Formålet med bestemmelsen er å bidra til å sikre klassifiserte anlegg og system mot innsiderisiko. Bestemmelsen gjelder kun KBO-enheter og kun nyansatte og egne ansatte som har fått ny stilling. Risikofaktorer som taler imot egnethet, er mangelfull holdning til sikkerhet, misnøye, ustabil adferd, kontakt med kriminelle enkeltpersoner eller miljøer, indikasjoner på rusmisbruk, økonomiske problemer eller overdrevent forbruk i forhold til inntekt og formue. Holdninger og uavklarte forhold fra bakgrunnssjekken bør søkes avklart ved intervju med den aktuelle personen.
Personopplysninger som behandles i forbindelse med egnethetsvurderingen, skal slettes så fort formålet med innhentingen er oppfylt. Opplysninger fra kredittsjekk skal slettes når egnethetsvurderingen er gjennomført. Behandling av personopplysninger må gjøres i samsvar med personvernloven. NVE viser til Datatilsynet for veiledning. NVE viser ellers til veilederen “Sikkerhet ved ansettelsesforhold, før, under og ved avvikling, utgitt av Politiets sikkerhetstjeneste”, Nasjonal sikkerhetsmyndighet, Politiet og Næringslivets Sikkerhetsråd.
KBO-enheter kan kreve at personer som skal få tilgang til anlegg, system eller annet i klasse 2 og 3, skal fremlegge kredittsjekk, men kun når det er saklig behov for det iht. personopplysningsforskriftens § 4-3. I praksis betyr dette at kredittsjekk kun kan gjøres når vedkommende skal kunne ta opp kreditt eller ha økonomiansvar som en del av stillingen sin. NVE anbefaler derfor at virksomheten har god opplæring av ansatte, gode rutiner for tilgangskontroll til IKT-systemer og en personalpolitikk som bygger tillit og lojalitet til virksomheten, og som gir trygghet for å rapportere uønskede hendelser. NVE anbefaler videre at man vurderer landrisiko ved ansettelse og innleie av personell fra utlandet og følger råd gitt fra sikkerhetsmyndighetene (PST, Forsvaret og NSM).
For fysisk adgang til driftssentraler i klasse 3 gjelder et absolutt krav om full bakgrunnssjekk, se kbf § 5-11. Dette gjelder alle personer som skal ha slik adgang, interne og eksterne.
NVE anbefaler at KBO-enheter har på plass sikringstiltak, tilgangskontroll og god personalledelse i hele ansettelsesperioden.
Kravene gjelder ikke personer som er klarert og autorisert i henhold til sikkerhetsloven. Dette gjelder både sikkerhetsklarering og adgangsklarering. For sivil sektor er Sivil klareringsmyndighet (SKM) den sentrale klareringsmyndigheten.
Eksempel: Personkontroll av ansatte
Kraftkonsernet AS skal ansette en ny økonomisjef med fullmakt til å foreta økonomiske transaksjoner, herunder handle på kreditt på vegne av virksomheten. Medarbeideren vil få tilgang til anlegg i klasse 2 og 3. Bakgrunnssjekk av nyansatte innebærer for eksempel kontroll av identitet, framvisning av originalvitnemål, verifikasjon av kompetanse og erfaring gjennom intervju og referansesjekk. I tillegg kan Kraftkonsernet AS gjennomføre kredittsjekk av den nye økonomisjefen.
I denne ansettelsessaken har det dukket opp spørsmål om Kraftkonsernet AS må gjennomføre bakgrunnssjekk av alle ansatte i virksomheten. I samtale med NVE kommer det frem at dette kravet kun gjelder for nyansatte. Det kan også unntaksvis gjelde for egne ansatte, dersom de har fått en ny stilling, for eksempel går fra vedlikeholdsavdelingen til driftssentralen. Kraftkonsernet AS skal gjennomføre personkontroll av alle, inklusive ansatte hos leverandører, når de skal ha fysisk selvstendig adgang til driftssentral klasse 3. Dette kravet følger av § 5-11. Dette kravet sier at personer uten full bakgrunnssjekk etter § 6-7 ikke skal ha adgang til driftssentraler i klasse 3.
Kraftkonsernet AS skal også ansatte en tekniker som skal jobbe i anlegg i klasse 2 og 3. Han skal også jobbe på driftssentralen. I dette tilfellet skal Kraftkonsernet gjennomføre full bakgrunnssjekk før ansettelse. Han har ikke budsjettansvar eller økonomifullmakt, og det er ikke saklig behov for kredittsjekk etter personopplysningsforskriften § 4-3. Følgelig skal kredittsjekk ikke gjøres.
Personkontroll av ansatte hos leverandører og andre aktører som må ha tilgang
Kraftkonsernets anlegg i klasse 2 og 3 er samlokalisert med teleanlegg. Teleselskapets servicepersonell trenger derfor adgang til anlegget for å få adgang til eget utstyr. Teleselskapets personell får dermed adgang til anlegg i klasse 2 og 3 som tilhører Kraftkonsernet. Kraftkonsernet henvender seg til NVE med forespørsel om hvordan hjemmelen for personkontroll er for Teleselskapets personell. NVE forklarer at Kraftkonsernet ikke har hjemmel til å kreve personkontroll med unntak av for det servicepersonellet som skal inn på driftssentralen i klasse 3.
NVE godtar at Teleselskapet «går god» for sine ansatte, dvs. servicepersonellet. I dette tilfellet skal det foreligge en liste over godkjent personell.
Veiledere
Sikkerhet_ved_ansettelsesforhold_2017 (politietstryggingsteneste.no)
Kredittvurdering, Datatilsynet
Risiko 2023 - Nasjonal sikkerhetsmyndighet (nsm.no)
Fokus 2023 - Etterretningstjenesten
Innsiderisiko - NSM temarapport
NVE Veileder 1/2024: Veileder i personellsikkerhet for kraftforsyningen