Lukk

Tips noen om denne nettsiden

Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Sidemeny

Informasjonssikkerhet

Innhenting av personopplysninger via Internett

(Publisert: 30.12.2011)
Mange virksomheter innhenter personopplysninger og kommuniserer med kunder, samarbeidspartnere eller andre interessenter via Internett. For at dette skal skje på en sikker måte, må virksomheten sørge for å ha på plass en rekke sikkerhetstiltak.

Alle virksomheter, fra enkeltmannsforetak til store foretak, er ansvarlig for å sikre at innhentingen av personopplysninger via internett skjer på en sikker måte. Det betyr at virksomheten både skal ha gjennomført en risikovurdering og sørge for å ha tilfredsstillende informasjonssikkerhet for opplysningene.                

Hva kan gå galt

Hvis opplysningene som kommuniseres via Internett ikke sikres godt nok, kan uvedkommende få tilgang til opplysningene. Datatilsynet har gjentatte ganger erfart at nettsider med for dårlig sikkerhet har vært utsatt for innhøsting av store mengder personopplysninger. Hovedgrunnen til at uvedkommende får tilgang til å høste opplysningene er som oftest at disse utnytter en kombinasjon av forskjellige svakheter. Det er alltid en risiko for at personopplysninger som kommer på avveier kan misbrukes. Dersom noen med onde hensikter får tak i opplysningen kan kunder og andre kontakter risikere å bli utsatt for ID-tyveri eller andre former for svindelforsøk. Personopplysninger på avveier skaper derfor stor utrygghet hos kunden. For at vedkommende som eier opplysningene som er på avveier skal kunne forbygge dette, er det svært viktig at han eller hun får beskjed om hendelsen.

Åpne og les hele artikkelen Skjul full artikkel

Bekrefte kundens identitet

Når virksomheter kommuniserer gjennom elektroniske kanaler og det som det kommuniseres krever at virksomheten er sikker på at mottageren er den vedkommende sier han er, er det virksomhetens plikt å bekrefte at det stemmer. Altså at den i andre enden virkelig er den han eller hun utgir seg for å være. En måte å oppnå dette på er at virksomheten bruker kvalifiserte elektroniske signaturer eller andre signaturer, der dette er tilstrekkelig. Dette gjelder kun for elektronisk kommunikasjon eller dialog. Prinsippet om anonym ferdsel på Internett skal etterleves så langt det er mulig, det vil si at alle skal kunne gjøre generelle søk eller lete etter annen generell informasjon på virksomhetens nettside, søkemotor eller annet uten å måtte oppgi hvem de er.

Sjekkliste for virksomheter som innhenter personopplysninger via Internett:

  1. Virksomheten må sikre at de vet hvem de kommuniserer med. Ved etablering av nye kundeforhold som innebærer kontroll over kundeforholdet eller et kredittelement er det særlig viktig å kontrollere kundens identitet. Datatilsynet anbefaler at virksomheten bruker for eksempel rekommandert sending eller en annen sikker sending til kundens folkeregistrerte adresse for å sikre seg mot nettsvindlere.
  2. Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon Datatilsynet anbefaler derfor at kundene eller brukeren av en tjeneste selv må legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk.
  3. Virksomhetens skjema eller system må ikke gi tilbakemelding på om informasjonen som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser eller til å verifisere personopplysninger.
  4. Skjemaer, innloggingsløsninger og andre systemer virksomheten bruker må sikres mot automatisk innhøsting av opplysninger. En løsning er å bruke piktogram. Da må kunden eller brukeren må fylle inn det de ser i ruten for å bekrefte at det er et menneske og ikke en maskin i andre enden.
  5. Virksomheten må sikre kanalene for utveksling av personopplysninger. Kryptering av kommunikasjonen er en måte å løse dette på.
  6. Når en virksomhet bruker skjematjenester for utfylling av opplysninger, bør det legges inn begrensninger for hvor mange forsøk samme individ eller maskin får på legge inn opplysninger. En løsning på dette kan være å legge inn IP- eller TCP-sesjon begrensinger. Disse må da legges inn i begrenset tid for å unngå unødvendig logging.
  7. Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post med personrelatert informasjon til en adresse brukeren selv har lagt inn i skjemaet med mindre informasjonen har et lavt beskyttelsesbehov. Husk også at usikret e-post ikke er egnet for å sende ut brukernavn og passord.
  8. Dersom virksomheten skal foreta en kredittsjekk av kunde eller bruker, må vedkommende få tydelig beskjed om dette og når kredittsjekken vil gjøres.
  9. Dersom en virksomhet innhenter fødselsnummer for å kunne foreta en kredittsjekk skal fødselsnummeret slettes umiddelbart etter at kredittsjekken er gjennomført. Virksomheten kan ikke beholde fødselsnummeret i sine registre uten å ha et behandlingsgrunnlag for fødselsnummer.

Informasjonsplikt

Den som samler inn personopplysninger om noen har plikt til å informere den registerte om dette. Vedkommende som registreres skal også informeres dersom det samles inn opplysninger om han eller hun fra andre enn vedkommende selv.

Synes du denne artikkelen var nyttig?

Ja, jeg fikk svar på de spørsmålene jeg hadde
Nei, jeg fant ikke det jeg lette etter

Veiledere

Artikler

SIKKER ID - test

Om Datatilsynet

Datatilsynet skal medvirke til at den einskilde ikkje vert krenka gjennom bruk av opplysningar som kan knyttast til han eller henne

Kontakt oss

postkasse@datatilsynet.no
Telefon: +47 22 39 69 00

Postboks 8177 Dep.
0034 Oslo

Personvernerklæring