Kapittel

5. Seriøsitet

I dette kapittelet beskrives oppfølging og kontroll av seriøsitetskrav.

Seriøsitetskrav er kontraktsvilkår som skal motvirke arbeidslivskriminalitet og sosial dumping i offentlige kontrakter. Slike krav kan være pålagt i lov og forskrift:

Andre seriøsitetskrav er kontraktsvilkår som ofte stiller strengere krav enn det regelverket krever. Slike kontraktsvilkår benyttes typisk i bygge- og anleggskontrakter samt tjenestekontrakter med høy risiko for arbeidslivskriminalitet eller sosial dumping. I den grad det er stilt seriøsitetskrav i kontrakten utover lovpålagte krav, må disse følges opp.

Oppfølging og kontroll av seriøsitetskrav (lovpålagte og andre seriøsitetskrav) krever ofte spesialkompetanse. Det er viktig at det etableres et godt samarbeid mellom kontraktsforvalter og eventuelle ressurser med spesialkompetanse. Fagpersoner, fagetater og SHA-rådgivere kan involveres i dette arbeidet. Hvis virksomheten ikke har tilstrekkelige ressurser eller fagkompetanse, kan det etableres samarbeid med andre virksomheter i oppfølgings- og kontrollarbeidet.

Det anbefales at virksomheten i størst mulig grad gjennomfører oppfølging og kontroll av krav til lønns- og arbeidsvilkår, krav til lærlinger og leverandørkjedebegrensninger og andre seriøsitetskrav sammen med den generelle kontraktsoppfølgingen (se kapittel 4). Det kan for eksempel være hensiktsmessig å ta opp oppfølging av seriøsitetskrav i statusmøter med leverandøren.

Basis:

  • Virksomheten skal stille lovpålagte krav til lønns- og arbeidsvilkår mv., krav til lærlinger, begrense antall ledd i leverandørkjeden i relevante kontrakter samt stille krav om betaling via bank.

Avansert:

  • Avanserte virksomheter kan vurdere å stille relevante krav til seriøsitet utover de lovpålagte kravene.
  • Virksomheten må sikre oppfølging og kontroll av både lovpålagte krav samt andre seriøsitetskrav.

5.1 System og rutine for kontroll av krav til lønns- og arbeidsvilkår

For å etterleve kontrollplikten etter forskrift om lønns- og arbeidsvilkår i offentlige kontrakter mv. § 7, må det etableres system og rutiner. Kontrollplikten er nært knyttet til påseplikten etter forskrift om informasjons-, påseplikt og innsynsrett. Påseplikten krever at det iverksettes «systemer og rutiner for å undersøke og om nødvendig følge opp at allmenngjøringsforskrifter etterleves», jf. forskrift om informasjons-, påseplikt og innsynsrett § 6 fjerde ledd. Det legges derfor til grunn at det er et krav å etablere slike systemer og rutiner (jamfør også Riksrevisjonenes rapport Dokument 1 (2022–2023) pkt. 4.2) også for forskrift om lønns- og arbeidsvilkår i offentlige kontrakter.

Systemet og rutinen bør minst:

  • dekke alle krav i forskriften om lønns- og arbeidsvilkår mv. for alle anskaffelser innenfor forskriftens virkeområde
    • krav til kontraktsvilkår iht. forskriftens krav
    • krav til informasjon
  • beskrive kontrollplikt:
    • beskrive hvem (rolle) som har ansvar for å følge opp kontrakten
    • beskrive hvordan behovet for kontroll skal vurderes
    • beskrive hvordan kontroll kan gjennomføres
    • beskrive hvordan oppfølging og kontroll skal dokumenteres

Basis:

  • Utarbeide system og rutine for oppfølging og kontroll av lønns- og arbeidsvilkår

5.2 Kontrollplikt lønns- og arbeidsvilkår

Dersom det er stilt krav til lønns- og arbeidsvilkår mv. i kontrakten, har virksomheten plikt til å følge opp og kontrollere at arbeidstakerne som utfører arbeid på kontrakten har lønns- og arbeidsvilkår i tråd med enten gjeldende allmenngjøringsforskrift eller landsomfattende tariffavtale.

Dersom kontrakten er dekket av en allmenngjøringsforskrift, gjelder også forskrift om informasjons-, påseplikt og innsynsrett. Påseplikt innebærer at hovedleverandøren har plikt til å påse at lønns- og arbeidsvilkår hos underleverandørene er i overenstemmelse med gjeldende allmenngjøringsforskrift. Påseplikten omfatter alle ledd i leverandørkjeden som utfører arbeid som omfattes av allmenngjøringsforskriften. Dersom hovedleverandøren ikke har underleverandører, vil bestiller (virksomheten) ha påseplikt. Påseplikten gjelder uavhengig av kontraktens verdi. Påseplikt er nærmere beskrevet på Arbeidstilsynets hjemmesider.

For å kunne gjennomføre kontrollplikt- og påseplikt, må det gjennomføres jevnlige risikovurderinger av kontrakten gjennom hele kontraktsperioden. Dette gjelder kontraktens krav til lønns- og arbeidsvilkår, og er det første steget i gjennomføring av kontrollplikten. Det må utføres ytterligere kontroll der risikoen for brudd på kravene er høyest.

Det anbefales å bruke et egenrapporteringsskjema for å innhente relevant informasjon fra leverandøren som kan inngå i risikovurderingen. Krav til egenrapportering må kontraktsfestes, og bør legges ved som et bilag til kontrakten.

Dersom risikovurderingen avdekker høy risiko for brudd på kravene til lønns- og arbeidsvilkår mv. , skal det gjennomføres mer kontroll. Dette kan for eksempel gjennomføres trinnvis:

  1. Virksomheten kan innhente oversikt over arbeidstakere som har utført arbeid på kontrakten. I bygge- og anleggskontrakter kan det for eksempel tas utgangspunkt i oversiktslisten som føres etter byggherreforskriften. Det bør også innhentes opplysninger om eventuelle underleverandører.
  2. Virksomheten kan innhente dokumentasjon om hvilke allmenngjøringsforskrifter eller tariffavtaler som er lagt til grunn av leverandøren. Det må vurderes hvilken tariffavtale eller allmenngjøringsforskrift som er relevant for arbeidet på kontrakten.
  3. Deretter innhentes dokumentasjon som arbeidsavtaler, timelister og lønnslipper for et utvalg av de ansatte som har utført arbeid på kontrakten. Slik dokumentasjon inneholder personopplysninger, og virksomheten må behandle disse i tråd med personvernregelverket.
  4. Virksomheten kan også gjennomføre stedlige kontroller, men dette må i så fall kontraktsfestes. Virksomheten bør vurdere om de har tilstrekkelige ressurser med riktig kompetanse for å gjennomføre stedlig kontroll.
Stedlige kontroller

Gjennomføring av stedlige kontroller i særlig risikoutsatte kontrakter:

  • Tydeliggjør om det skal gjennomføres varslet eller uvarslet kontroll hos leverandøren. Varsel kan for eksempel sendes ut kort tid før kontrollen gjennomføres (for eksempel 3 dager til en uke).
  • Det bør minimum være to personer fra virksomheten til stede under kontrollen
  • Avklar på forhånd hva som skal kontrolleres. Bruk risikovurderingen aktivt i vurderingen.
  • Kontrollen kan starte med et felles møte med alle involverte hvor tidsplan og kontrollaktiviteter gjennomgås.
  • Etter avsluttet kontroll bør notater og eventuelle observasjoner gjennomgås og vurderes.
  • Gjennomfør et avsluttende møte med leverandøren hvor observasjoner og eventuelle funn presenteres. Gi leverandøren mulighet til å kommentere og gi tilleggsinformasjon for å oppklare eventuelle misforståelser.
  • Dersom det avdekkes brudd på kontraktsvilkårene, må det vurderes sanksjoner. Les mer om dette i kapittel 4.

Det bør alltid utarbeides en rapport etter gjennomført kontroll, og denne bør også forelegges leverandøren for kommentarer. Rapporten skal dokumenteres, og bør arkiveres på samme sak som kontrakten.

Kontrollpliktens innhold og gjennomføring er nærmere beskrevet i DFØs veileder for krav til lønns- og arbeidsvilkår .

Basis:

  • Virksomheten skal gjennomføre jevnlige risikovurderinger av kontrakter hvor det er stilt krav til lønns- og arbeidsvilkår etter forskriften.
  • Virksomheten skal gjennomføre ytterligere, dokumentasjonsbasert, kontroll ved høy risiko for brudd på kravene til lønns- og arbeidsvilkår.
  • Virksomheten skal utforme en skriftlig rapport etter kontroll som også inkluderer risikovurderingen. Rapporten skal arkiveres på samme sak som kontrakten.

Avansert:

  • Virksomheten kan kontraktsfeste adgang til stedlige kontroller (både annonserte og uannonserte) i kontrakten.

5.3 Oppfølging av krav til lærlinger, begrensninger i antall ledd i leverandørkjeden og krav om betaling via bank

Krav om lærlinger, krav om begrensninger i antall ledd i leverandørkjeden og krav om betaling via bank skal følges opp.

Leverandør og eventuelle underleverandører må være godkjent lærebedrift for å oppfylle kravet til lærlinger etter forskriften. Godkjenning er regulert i opplæringsloven § 4-3 og i forskrift til opplæringsloven §§ 11-1 og 11-2. Plikter og rettigheter til lærebedriftene følger av opplæringsloven § 4-4. Det bør kreves at leverandøren legger frem dokumentasjon som viser at leverandør eller underleverandør er godkjent lærebedrift. Det bør også innhentes læreplaner og inngåtte lærekontrakter for lærlinger som har utført arbeid på kontrakten.

I bygge- og anleggskontrakter vil bruk av HMSREG eller tilsvarende systemer gi en god oversikt over hvilke leverandører som utfører arbeid på kontrakten, og om det er lærlinger til stede der hvor arbeidet utføres. 

Dersom virksomheten ikke benytter HMSREG eller tilsvarende systemer, eller det er tale om andre typer tjenestekontrakter, må det innhentes timelister og annen relevant dokumentasjon som viser om leverandøren eller underleverandøren har brukt lærling(er) på kontraktsarbeidet.

Det kan være utfordrende å holde oversikt over leverandører og arbeidstakere på tjenestekontrakter hvor det ikke er krav til å føre oversiktslister over hvem som utfører arbeidet. Dersom virksomheten ønsker å kontraktsfeste krav om registrering av arbeidstakere, må det vurderes om det er adgang til å behandle disse personopplysningene.

Det anbefales at virksomheten kontraktsfester at leverandøren skal opplyse om bruk av underleverandører. Endringer skal varsles før en underleverandør starter arbeid på kontrakten.

Oppdragsgiver har plikt til å gjennomføre nødvendig kontroll av om kravet om betaling via bank er oppfylt. DFØ har utarbeidet veiledning om dette kravet og hvordan kravet skal følges opp og kontrolleres.

Det fins mer veiledning og maler i veiledningen vår om arbeidslivskriminalitet og sosial dumping.

Basis:

  • Følge opp krav til lærlinger der kontrakten inneholder krav etter forskriften om krav til lærlinger i offentlige kontrakter
  • Følge opp krav til begrensning i antall ledd i leverandørkjeden der slike krav er stilt etter FOA §§ 8-13 og 19-3

5.4 Oppfølging av andre seriøsitetskrav

Det er opp til virksomheten å vurdere om det skal stilles seriøsitetskrav utover de lovpålagte kravene, og i tilfelle hvilke krav som er hensiktsmessige og lovlige. Det vil derfor variere hvilke krav som er stilt. Dersom virksomheten ikke har tilstrekkelige ressurser og kompetanse (basisnivå), må virksomheten tilføres de nødvendige ressurser og organisatoriske forutsetninger for å stille seriøsitetskrav utover lovpålagte krav.

Dersom det stilles seriøsitetskrav utover de lovpålagte kravene, anbefales det at virksomheten følger opp disse kravene i tråd med de anbefalte stegene i veilederens kapittel 4. Virksomheten bør likevel være oppmerksom på at oppfølging av seriøsitetskrav ofte krever spesialkunnskap, og at det kan være behov for å opprette en egen rolle som ivaretar oppfølgingen av slike kontraktsvilkår.

Virksomheten bør benytte kompetanse i hele organisasjonen for å fange opp eventuelle avvik. Dette kan for eksempel være SHA-rådgivere på virksomhetens byggeplasser og intern HR-kompetanse for vurdering av for eksempel tariffbestemmelser og lønn. Virksomheten kan også samarbeide med det lokale Arbeidstilsynet og andre kontrolletater. En del virksomheter samarbeider også med Fair Play bygg mv.

Siden virksomhetene ikke er pålagt å stille seriøsitetskrav utover de lovpålagte kravene, er det ikke mulig å angi en uttømmende liste over seriøsitetskrav og hvordan disse kan følges opp. Virksomheten kan benytte sjekklistene som følger denne veilederen, og selv fylle inn sine kontraktsfestede seriøsitetskrav.

Nedenfor er en liste som viser noen seriøsitetskrav som er vanlige å stille:

Krav til utvidet skatteattest (innhente skjema RF 1507 fra Skatteetaten)

Skatteetaten har publisert informasjonsvideoer som viser hvordan virksomheten kan bestille opplysninger om skatt og avgift.

Film nr. 1 viser steg for steg hvordan en virksomhet kan bestille opplysninger om skatt og avgift for egen bedrift, og hvordan du kan gi en eksisterende eller fremtidig oppdragsgiver tilgang til disse opplysningene.

Film nr. 2 og 3 er en gjennomgang av opplysningene i skjemaet. Hvilke opplysninger er det som gis, hvor er de hentet fra, og hva betyr de. Vi gir også noen tips om hva en oppdragsgiver eller anskaffer kan være oppmerksom på, hvis du er gitt tilgang til opplysningene i forbindelse med inngåelse eller oppfølging av avtale. 

I videoene forklarer Skatteetaten hva opplysningene kan bety:

Krav om gyldig HMS-kort

Dette kan virksomheten sjekke gjennom elektronisk adgangskontroll med bruk av HMS-kort.

Se mer om krav til HMS-kort på byggeplasser og krav til HMS-kort ved anskaffelse av renholdstjenester.

Krav til prosentandel lærlinger som utfører arbeid på kontrakten

For å kunne følge opp dette kontraktsvilkåret, må virksomheten stille krav til hvilken dokumentasjon som leverandøren skal legge frem. Dette kan for eksempel være timelister. Det bør også vurderes å kontraktsfeste andre krav som for eksempel at det skal fremgå hvilken leverandør eller underleverandør som har utført arbeidet som involverte lærlingene.

Virksomheten bør kreve at leverandøren legger frem relevant dokumentasjon som viser at leverandør eller underleverandør er godkjent lærebedrift. Det bør også innhentes læreplaner og inngåtte lærekontrakter for lærlingene som har utført arbeid på kontrakten.  

Dersom virksomheten benytter HMSREG eller tilsvarende systemer, vil virksomheten kunne hente ut informasjon gjennom systemet. Det kan også vurderes om virksomheten skal kontraktsfeste en rett til å gjennomføre stedlige kontroller for å følge opp kravet.

Eksempel på seriøsitetsbestemmelser:

Fellesforbundet, Byggenæringens Landsforening (BNL), Kommunesektorens interesse- og arbeidsgiverorganisasjon i Norge (KS) og Direktoratet for forvaltning og økonomistyring (DFØ) har sammen utarbeidet et forslag til seriøsitetsbestemmelser til bruk i bygg- og anleggskontrakter.

Det er utarbeidet en sjekkliste som kan brukes for å følge opp disse seriøsitetsbestemmelsene.

5.5 Personvern

Når virksomheten skal gjennomføre kontrollplikten i forskrift om lønns- og arbeidsvilkår og oppfølging av seriøsitetskrav, kan det føre til at virksomheten behandler personopplysninger. Behandling av personopplysninger skal skje i samsvar med personvernlovgivningen.

Vi anbefaler at virksomheten utarbeider en rutine for å sikre at behandling av personopplysninger skjer på en lovlig og trygg måte når virksomheten gjennomfører sine kontrollplikter. Dersom virksomheten allerede har generelle retningslinjer eller en policy for behandling av personopplysninger, bør virksomheten sikre at behandling av personopplysninger i forbindelse med slike kontroll- og oppfølgingsaktiviteter ivaretas i den eksisterende rutinen.

5.5.1 Prinsipper for behandling av personopplysninger 

Når virksomheten behandler personopplysninger i forbindelse med gjennomføring av kontrollplikter eller andre oppfølgingsaktiviteter i forbindelse med kontraktsforvaltning, må  personvernprinsippene ivaretas:

  • lovlig, rettferdig og gjennomsiktig
  • formålsbegrensning
  • dataminimering
  • riktighet
  • lagringsbegrensning
  • integritet og konfidensialitet
  • ansvarlighet

5.5.2 Krav til virksomheten for behandling av personopplysninger

Virksomheten har flere plikter etter personvernregelverket når personopplysninger innhentes og behandles.

Behandlingen må være lovlig 

Behandling av personopplysninger kan bare skje dersom det foreligger et lovlig behandlingsgrunnlag i samsvar med kravene i GDPR art. 6 til 10: 

  • Samtykke 
  • Nødvendig for å oppfylle en avtale 
  • Nødvendig for å oppfylle en rettslig plikt 
  • Nødvendig for å beskytte vitale interesser 
  • Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet 
  • Nødvendig for å ivareta legitime interesser – interesseavveiing 

Virksomheten må vurdere hvilket behandlingsgrunnlag som er aktuelt for behandling av de personopplysningene som virksomheten innhenter før opplysningene faktisk innhentes for at behandlingen skal være lovlig. Dersom det er flere behandlingsgrunnlag som er aktuelle, skal virksomheten legge til grunn det behandlingsgrunnlaget som setter de registrerte i en best mulig posisjon.

Virksomheten må løpende følge opp at behandlingen er i tråd med det formålet med behandlingen som ble lagt til grunn før behandlingen startet. Virksomheten må også sjekke at rettsgrunnlaget for behandlingen fortsatt er dekkende.

Forskrift om lønns- og arbeidsvilkår i offentlige kontrakter § 7 pålegger offentlige oppdragsgivere å gjennomføre kontroll. Denne forskriften gir grunnlag for å behandle personopplysninger i forbindelse med gjennomføring av kontrollplikten da dette er en såkalt rettslig plikt, jf. GDPR art. 6 nr. 1. bokstav c. Forskriften gir også tilstrekkelig grunnlag for å lagre opplysningene for å dokumentere at kontroll er utført. Behandlingsgrunnlaget er bare gyldig innenfor forskriftens virkeområde. Det kan dermed bare innhentes relevante personopplysninger for ansatte som utfører arbeid på kontrakten for den perioden arbeidet faktisk er utført.

I den grad innhenting og behandling av dokumentasjon som inneholder personopplysninger ikke har grunnlag i lov eller forskrift, men er inntatt som kontraktsfestede seriøsitetskrav, er dette ikke å anse som en rettslig plikt. Heller ikke samtykke i medhold av GDPR art. 6 nr. 1 bokstav a antas å være et lovlig behandlingsgrunnlag i slike tilfeller. Behandling av personopplysninger i medhold av GDPR art. 6 nr. 1 bokstav e kan eventuelt være et aktuelt behandlingsgrunnlag. Behandlingen vil etter dette være lovlig dersom den er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Både behandlingsgrunnlag etter bokstav c (rettslig plikt) og bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet) krever at behandlingen er «nødvendig». Dette må vurderes konkret, og virksomheten finner mer informasjon på Datatilsynets hjemmesider.

Krav til åpenhet

Virksomheten må informere om hvilken dokumentasjon som vil bli innhentet i forbindelse med gjennomføring av kontrollpliktene og oppfølging av kontrakten til leverandøren. Informasjonen bør også si noe om rutinene for behandlingen og mulighetene for å få innsyn i opplysningene for de registrerte.

Formål med behandlingen

Virksomheten må definere formålet med behandlingen av personopplysningene. Formålet med behandlingen skal fremgå av virksomhetens protokoll for behandling av personopplysninger. 

Dataminimering

Før personopplysninger innhentes, skal virksomheten vurdere hvilke opplysninger det er nødvendig å innhente for å gjennomføre kontrollplikten og oppfølgingen av kontrakten. Virksomheten skal også slette personopplysninger som ikke er adekvate, relevante eller nødvendige.

Riktighet

Virksomheten skal bare behandle personopplysninger som er korrekte, og om nødvendig oppdaterte i tråd med GDPR art. 5 nr. 1 bokstav d. Dette betyr at virksomheten må rette eller slette personopplysninger som ikke er korrekte og oppdaterte. Dette kan for eksempel gjennomføres ved at virksomheten i etterkant av dokumentasjonsgjennomgangen gir mulighet for kontradiksjon fra leverandøren.

Lagringsbegrensning og sletting

Virksomheten skal ikke lagre personopplysninger på en slik måte at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for å oppnå formålet med behandlingen. Virksomheten skal slette eller anonymisere personopplysninger dersom det ikke lenger er grunnlag for videre behandling.

Informasjonssikkerhet

Virksomheten skal behandle personopplysninger på en måte som gir tilstrekkelig sikkerhet og vern mot uautorisert eller ulovlig behandling. Behandlingen skal også gi vern mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske, organisatoriske tiltak. Tiltakene som iverksettes skal stå i forhold til den risiko behandlingen innebærer for den registrerte.

Virksomheten bør utarbeide rutiner for hvordan personopplysninger skal behandles og hvem som skal få tilgang til personopplysningene i organisasjonen. Rutinene skal også inneholde tiltak for å avdekke avvik og for å påse at avvik blir fulgt opp og lukket.

Protokoll over behandling av personopplysninger

Virksomheten skal etablere og holde vedlike en protokoll over de behandlingsaktivitetene som gjennomføres. Vi anbefaler at Datatilsynets mal benyttes.

Oppdatert: 26. september 2024

Kontakt

Beste praksis for kontraktsoppfølging

Skriv ut / lag PDF

1. Innledning

To nivåer, basis og avansert

Veilederens innhold

To sjekklister

2. Organisering

2.1 Roller, kompetanse og kapasitet

2.1.1 Basis nivå for virksomheter med et minimum av kapasitet og kompetanse

2.1.2 Avansert nivå for virksomheter med tilstrekkelig kapasitet og kompetanse

2.2 System og rutiner

3. Kontraktsoversikt og overordnet risikostyring

3.1 Kontraktsregister

3.2 Overordnet risikovurdering og oppfølgings- og kontrollplan for virksomheten

Eksempel på hvordan risikovurderinger kan gjennomføres

4. Kontraktsoppfølging

4.1 Generelt

4.2 Implementeringsperiode

4.2.1 Informasjon om kontrakten

4.3 Risikovurdering av kontrakten

4.4 Administrative forhold

4.4.1 Oppstartsmøte

4.4.2 Samarbeidsmøter/statusmøter 

4.4.3 Krav til rapportering om statistikk for kontrakten

4.5 Oppfølging av leveransen

4.5.1 Kvalitet

4.5.2 Oppfølging av prisbestemmelser

4.5.3 Oppfølging av leveransefrister mv.

4.5.4 Revisjon og stikkprøver

4.6 Endringer i produktsortiment, priser og andre betingelser under kontraktsperioden

4.7 Avvikshåndtering og sanksjonering

4.8 Opsjon på rammeavtaler

4.9 Avslutning av kontrakten

5. Seriøsitet

5.1 System og rutine for kontroll av krav til lønns- og arbeidsvilkår

5.2 Kontrollplikt lønns- og arbeidsvilkår

5.3 Oppfølging av krav til lærlinger, begrensninger i antall ledd i leverandørkjeden og krav om betaling via bank

5.4 Oppfølging av andre seriøsitetskrav

5.5 Personvern

5.5.1 Prinsipper for behandling av personopplysninger 

5.5.2 Krav til virksomheten for behandling av personopplysninger

Behandlingen må være lovlig 

Krav til åpenhet

Formål med behandlingen

Dataminimering

Riktighet

Lagringsbegrensning og sletting

Informasjonssikkerhet

Protokoll over behandling av personopplysninger

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.