Er det lov å dele personnummer?

Er det lov å dele personnummer? Rett til å si nei

Mange lurer på om er det lov å dele personnummer i hverdagen. Det er viktig å forstå dine rettigheter for å beskytte privatlivet og unngå unødvendig spredning av sensitive opplysninger. Ved å kjenne reglene sikrer du at personopplysningene dine behandles korrekt og trygt i møte med ulike aktører.

Er det lov å dele personnummer?

Ja, det er i utgangspunktet lov å dele personnummer, men det skal bare gjøres når det er et saklig behov for sikker identifisering. Det er viktig å forstå at et fødselsnummer ikke er taushetsbelagt informasjon i seg selv, men det regnes som en beskyttelsesverdig personopplysning som krever forsiktig håndtering for å unngå misbruk.

Mange tror at personnummeret er en dyp hemmelighet, men i virkeligheten er det en identifikasjonsnøkkel. I fjor ble det rapportert at nærmere 70.000 nordmenn hadde opplevd ID-tyveri de siste to årene, noe som understreker hvorfor vi er så varsomme. Lovverket sier at virksomheter bare kan kreve fødselsnummeret ditt når det er nødvendig for å sikre at de snakker med riktig person, for eksempel ved kredittsjekk, tildeling av helsetjenester eller rapportering til Skatteetaten. ^[1]

Hvem kan kreve fødselsnummeret ditt?

Det er en vanlig misoppfatning at hvem kan kreve fødselsnummer og få se de 11 sifrene dine. Lovmessig må det foreligge et saklig behov. Offentlige etater, banker, forsikringsselskaper og teleoperatører har som regel hjemmel til dette. Men hva med treningssenteret eller den lokale nettbutikken? Her er regler for fødselsnummer norge strengere.

Virksomheter bør i størst mulig grad bruke alternative metoder som BankID eller mobilverifisering i stedet for å lagre personnummeret ditt manuelt. Faktisk viser tall at over 90 % av voksne nordmenn bruker BankID regelmessig ^[2], noe som har redusert behovet for manuell inntasting av fødselsnummer i mange digitale tjenester. Hvis en butikk ber om nummeret ditt bare for at du skal bli medlem i en kundeklubb, har du som regel full rett til å si nei – og de har ofte ikke lov til å kreve det.

Sende personnummer på epost: Er det lovlig?

Dette er et punkt der mange trår feil. Selv om det ikke er et direkte forbud mot å dele sitt eget nummer, frarådes det sterkt å sende personnummer på epost lovlig eller på annen ukryptert måte. E-post er som et postkort; alle som håndterer forsendelsen underveis kan i teorien lese innholdet.

Sikkerhetseksperter anslår at risikoen for at informasjon på avveie blir plukket opp øker betraktelig når den ligger lagret i sendt-elementer eller innbokser over tid. Jeg lærte dette på den harde måten da jeg for noen år siden sendte en kopi av passet mitt til en utleier via Gmail. To uker senere fikk jeg varsel om et uautorisert innloggingsforsøk på en av mine kontoer. Det var en skremmende påminnelse om at digitale spor aldri forsvinner helt. Bruk heller sikre opplastingsportaler eller krypterte meldingstjenester dersom du absolutt må dele dokumentasjon.

Hva er risikoen ved å oppgi personnummer til private?

Hovedrisikoen ved dele personnummer med andre på en uforsiktig måte er identitetstyveri. Et personnummer alene er sjelden nok til å tømme bankkontoen din, men det er ofte den manglende brikken svindlere trenger for å bestille varer på faktura, søke om forbrukslån eller endre din folkeregistrerte adresse.

Når en privat aktør ber om personnummeret ditt, bør du alltid vurdere risiko ved å oppgi personnummer og stille kontrollspørsmålet: Hvorfor trenger dere dette for å levere tjenesten? Hvis svaret er uklart, bør du nekte. En betydelig andel av ID-tyverier skjer fordi informasjon har kommet på avveie gjennom usikre databaser hos mindre aktører ^[3] som ikke burde hatt informasjonen i utgangspunktet. Det er ikke alltid de store bankene som lekker, men ofte den lille nettbutikken med dårlig IT-sikkerhet. Vent litt - tenk deg om en ekstra gang før du taster inn tallene.

Identifisering: Hva er trygt og hva er utrygt?

Når du skal bekrefte hvem du er, finnes det flere metoder. Noen er innebygd med sikkerhet, mens andre er sårbare for snoking.

BankID (Anbefalt)

• Bedriften får bekreftet identitet uten å nødvendigvis lagre alle detaljer manuelt.
• Høyeste nivå (nivå 4). Krever to-faktor autentisering.
• Minimal, da informasjonen er kryptert fra ende til ende.

E-post eller SMS

• Ligger lagret i mailarkiv og servere på ubestemt tid.
• Lavt. Informasjonen sendes ofte som klartekst.
• Høy. Meldinger kan plukkes opp av ondsinnede aktører i nettverket.

Kristians opplevelse med en 'litt for ivrig' nettbutikk

Kristian, en 34 år gammel lærer fra Trondheim, skulle kjøpe et par joggesko fra en ny, mindre nettbutikk. Ved utsjekking krevde siden at han oppga fullt fødselsnummer for å 'opprette profil'.

Han følte seg presset til å fullføre kjøpet og tastet inn nummeret. Men dagen etter begynte han å angre - hvorfor trengte en skobutikk personnummeret hans for et kontantkjøp?

Han kontaktet butikken og ba om sletting. Det viste seg at butikken brukte en standardmodul for kredittkjøp selv om han betalte med kort. De innså feilen og endret innstillingene sine.

Etter denne hendelsen sjekker Kristian alltid om det finnes en 'gjest-utsjekk'. Han lærte at mange butikker samler inn for mye data av gammel vane, ikke av nødvendighet.