Lukk

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere

Virksomheters bruk og misbruk av personopplysninger

Sørg for at det ikke er din virksomhet som lekker informasjon kriminelle kan benytte! Om opplysningene kommer i feil hender kan de misbrukes, blant annet til identitetstyveri.

De fleste virksomheter behandler personopplysninger om mennesker som er tilknyttet virksomheten på en eller annen måte. Det kan være som ansatte, kunder, klienter eller pasienter. Årsaken til at det behandles personopplysninger er at virksomheten har et formål med behandlingen. Et eksempel på formål kan være å administrere og betale ut lønn til de ansatte, mens et annet formål kan være å ha oversikt over kundene til virksomheten, samt administrasjon av kjøp og salg.

Kriterier for å behandle personopplysninger

En virksomhet som behandler personopplysninger gjør dette vanligvis etter samtykke fra den det samles informasjon om. I noen tilfeller kreves det likevel ikke et eksplisitt samtykke, da det er åpenbart for begge parter samhandlingen forutsetter bruk av gitte personopplysninger, og det er relativt klart hva behandlingen omfatter. Behandling av opplysninger om ansatte til administrasjon og lønnsutbetaling hører til den kategori. I andre tilfeller kreves det utfyllende og konkretisert informasjon som setter den registrerte i stand til å vurdere om vedkommende ønsker å gi sitt samtykke.

Hvem har ansvaret og hvordan ivaretas det?

Det er normalt alltid virksomhetens leder som er ansvarlig for korrekt håndtering av personopplysninger. Siden virksomhetens leder sjeldent har anledning, og heller ikke bør stå over skuldrene til de ansatte – benytter virksomhetens leder et  kvalitetssystem (internkontroll) der det settes opp regler og rutiner de ansatte må følge. Virksomhetens ledelse kan da konsentrere seg om å følge med på om det oppstår avvik fra det som er bestemt.

Les mer om hvordan internkontroll kan organiseres i din virksomhet.

Hvorfor er ansvaret så viktig?

Når noen tildeles ett ansvar, samt en eller flere plikter i et lovverk, er det fordi samfunnet gjennom lovgiver har vurdert at det er tungtveiende grunner for det. Behandling av informasjon om andre mennesker forutsetter aktsomhet, ryddighet og respekt for den registrerte. Ingen ønsker at informasjon om seg selv skal misbrukes eller komme på avveie. Det er din virksomhets ansvar å sørge for at informasjon fra virksomheten ikke er utsatt for lekkasjer.

Hva kreves for at opplysninger om andre kan behandles?

I juridisk forstand kreves det et såkalt behandlingsgrunnlag for at det skal være tillatt å behandle personopplysninger. Med dette menes at den det skal registreres opplysninger om, har samtykket til dette. Alternativt kan det være fastsatt i lov at det skal behandles personopplysninger, noe som er tilfelle i for eksempel skattelovgivningen. Det kan også behandles personopplysninger i forbindelse med:

  • Å oppfylle en avtale med registrerte
  • For å ivareta en rettslig forpliktelse
  • For å ivareta den registrertes vitale interesse
  • For å utføre en oppgave av allmenn interesse
  • Under utøvelse av offentlig myndighet
  • At en interesseavveining tilsier en slik behandling

Legg imidlertid merke til at samtykke er hovedregelen.

Hva er misbruk av personlig opplysninger?

Hva som vil bli regnet som misbruk av personopplysninger vil være avhengig av hvem man spør. Noen har nærmest ingen forhold til begrepet og engasjerer seg lite i spørsmålet. Vær likevel oppmerksom på at selv uengasjerte personer fort kan bli illsinte kunder om de faktisk opplever et misbruk. Et misbruk kan nemlig være svært alvorlig for den som blir rammet av det.

Sett fra en rettslig ramme, er all bruk av personopplysninger som ikke har gyldig behandlingsgrunnlag misbruk. Datatilsynet møter ofte virksomheter som ikke kan forstå at de ikke kan benytte innsamlede opplysninger til andre formål de senere ønsker å bruke opplysningene til. Årsaken til det er at virksomheten ikke ”eier” den innsamlede informasjonen, de har kun etter avtale (samtykke) med den registrerte fått anledning til benytte informasjonen til spesifikke formål. Det handler altså om respekten og rettighetene til den som avga opplysningene. Hvis det oppstår behov for et nytt formål, tilsier både vanlig høflighet og regelverket at man går tilbake og spør om endringen som gjøres er i orden.

Hvordan kan personopplysninger misbrukes?

Dette synes best illustrert med noen eksempler på konsekvenser av misbruk. Det er to hovedgrupper som konsekvenser kan sorteres inn under, henholdsvis hvor konsekvens er utilsiktet (uhell eller uaktsomhet) eller tilsiktet fra en kriminell:

Eksempel 1: Uhell eller uaktsomhet

At beskyttelsesverdig informasjon kommer uvedkommende i hende. Det kan for eksempel skje ved at ansatte lekker informasjon, at bærbare datamaskiner kommer på avveie, ved uforsvarlig håndtering av sikkerhetskopier eller innbrudd. Dette kan innebære brudd på forventet diskresjon og kan føre til alvorlig tillitsbrudd mellom individ og virksomhet, i noen tilfeller mellom samfunnet og sektoren din virksomhet tilhører som helhet. Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillitt og fortrolighet – brudd på tillitt kan medføre alvorlig tillitskrise.

Eksempel 2: Tilsiktet kriminell handling

At personopplysninger misbrukes til å fremme et ulegitimt formål, slik som å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller eiendom.
At uvedkommende tar helt eller delvis kontroll på aktiva tilhørende en annen person (ofte kalt identitetstyveri)
Ved hjelp av personopplysninger, foreta uautoriserte endringer eller disposisjoner i annens navn (eksempel: hevnmotiv).
Personopplysninger kan også misbrukes til å skaffe seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske.

Misbruk skjer ikke nødvendigvis umiddelbart

Personopplysninger som kommer på avveie, blir ikke nødvendigvis misbrukt umiddelbart. Erfaringer fra andre land tilsier at noen kriminelle miljøer har langsikte perspektiver, de samler inn relevant informasjon og misbruker det først når forholdene ligger til rette for det. En person som i dag er student, vil kanskje om noen år være et langt mer attraktivt bytte. Virksomheter som har fått informasjon på avveie bør være særskilt oppmerksom på dette i sitt eventuelle skadeopprettende arbeide.

Et eksempel:

For noen år tilbake kom kundedatabasen til en norsk internettoperatør på avveie, innholdene passord og brukernavn til flere hundre tusen brukere. Virksomheten antok at misbruket ville være moderat og tok ikke kostnaden ved umiddelbart å utstede nye brukernavn og passord. Informasjon var tilgjengelig i visse miljøer og ble benyttet for ulike lovstridige formål. Blant annet kunne informasjonen benyttes til å lese e-postene den enkelte mottok. En lite hyggelig situasjon for de berørte.

Virksomhetens juridiske ansvar

Brudd på personopplysningsloven kan medføre at virksomheten eller virksomhetens leder kan komme i straffeansvar. Det er også anledning for den registrerte å kreve erstatning fra virksomheten for krenkelse av eget personvern. Viktigst av alt er nok likevel at virksomheten kan tape viktig tillitt i markedet. Det kan få alvorlige følger for den videre drift.