Datatilsynet har behandlet flere saker hvor det er påvist fare for innhøsting av store mengder personopplysninger fra nettsider. Innhøstingen skjer ofte ved at forskjellige svakheter, gjerne hos flere virksomheter, utnyttes i kombinasjon.

Personopplysningslovens § 13, jf personopplysningsforskriftens kapittel 2 stiller krav om at behandlingsansvarlig skal sørge for tilfredstillende informasjonssikkerhet og dokumentere det gjennom en risikovurdering. Datatilsynet har følgende langsiktig forventning:

Ved samhandling over elektronisk medium, hvor det er nødvendig å avklare identitet, må behandlingsansvarlig med rimelighet forvisse seg om at samhandlingen skjer med rette vedkommende. For nye, ukjente brukere, vil denne forventningen normalt kun være oppfylt dersom det benyttes kvalifiserte elektroniske signaturer eller under visse forutsetninger andre signaturer virksomheten har tilstrekklig tillit til.

Følgende prinsipper bør tilstrebes:

1. Virksomheten må med rimelighet forvisse seg om at samhandling skjer med rette vedkommende. Ved etablering av nye kundeforhold, hvor det gis et kredittelement eller kontroll over eierskap til et kundeforhold er av betydning, bør rekommandert sending eller annen form for sikret formidling benyttes.
2. Bruker av tjenesten må selv legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk. Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon.
3. Systemet må ikke gi respons om informasjon som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser.
4. Det må anordnes vern mot maskinell innhøsting eller annen tilsvarende misbruk av siden. Inntil videre kan piktogram med tilstrekkelig sikkerhet være et tilfredstillende tiltak.
5. I løsninger hvor personopplysninger utveksles, må tilstrekkelig sikring av konfidensialitet etableres. Det kan for eksempel gjøres med kryptering av kommunikasjonen.
6. Det bør anordnes begrensninger i antall forsøk samme individ/maskin skal kunne benytte på en skjematjeneste. For eksempel kan IP- eller TCP-sesjon begrensninger legges inn, men da i begrenset tid for å unngå unødvendig logging.
7. Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post til en selvdefinert adresse med personrelatert informasjon, med mindre brukeren selv ønsker det, at informasjonen utelukkende ble lagt inn av brukeren selv, og informasjonen har et lavt beskyttelsesbehov. Usikret e-post er ikke egnet til utsendelse av brukernavn og passord.
8. Det må ikke foretas eventuell kredittsjekk før kunden har bekreftet bestilling på gitte betingelser. Det må klart fremgå at kredittsjekk er i ferd med å innhentes.
9. Eventuell innhentet fødselsnummeret skal slettes etter at kredittsjekk er gjennomført. Eventuelt må det foreligge eget behandlingsgrunnlag for fortsatt oppbevaring.

Listen er ikke uttømmende, men gir en veiledning for hva Datatilsynet mener kan være tilstrekkelige kortsiktige tiltak. Behandlingsansvarlig må utover ovennevnte være oppmerksom på informasjonspliktene som følger av personopplysningslovens §§ 19 og 20.

Datatilsynet påpeker forutsetningen om at tiltakene omhandler situasjoner hvor verifisering av identitet er nødvendig. Slike løsninger må ikke være til hinder for at brukerne kan søke generell informasjon uten å være pålogget en tjeneste. Prinsippet om anonym ferdsel på Internett, så langt dette er mulig, skal etterleves.