Om registrene inneholder personopplysninger, skal de sikres etter sikkerhetsbestemmelsen i Personopplysningsloven. Om det kun er manuell behandling gjelder personopplysningsloven § 13. I den grad det er elektronisk behandling skal også personopplysningsforskriften kapittel 2 tas hensyn til.
Alle personopplysninger må sikres i henhold til personopplysningsloven § 13. Behandlingsansvarlig for tjenesten må ha foretatt en risikovurdering. Som regel vil risikovurderingen, holdt opp mot de fastlagte kriterier for akseptabel risiko, føre til at det må iverksettes kryptering og da kryptering både av påloggingspassord og aktuell informasjon. SSL-kryptering er aktuell i slike sammenhenger.
Behandlingsansvarlig skal foreta en slik vurdering og iverksette nødvendige tiltak.
Datatilsynet anbefaler at passordet krypteres i den grad forholdsmessig sikkerhet krever dette. Beskyttelsesgraden for passordet må være bedre eller lik beskyttelsesnivået for opplysningene som passordet beskytter. Passord skal lagres kryptert, samt håndteres kryptert på nett som ikke behandlingsansvarlig har fullstendig kontroll over.
Se flere spørsmål og svar