Er kontonummer en sensitiv opplysning?

36 visninger
Er kontonummer en sensitiv opplysning klassifiseres som en vanlig personopplysning i motsetning til de særlige kategoriene for sensitive opplysninger etter GDPR. Slike personopplysninger under GDPR krever direkte avsløring av rase, politikk, religion eller helseopplysninger. Et kontonummer i seg selv mangler detaljer om helse eller personlig overbevisning og tilhører derfor kategorien vanlige personopplysninger.
Kommentar 0 liker
Kanskje du også vil spørre om dette?Mer

Er kontonummer en sensitiv opplysning? Sjekk GDPR-forskjellen

Er kontonummer en sensitiv opplysning skaper ofte usikkerhet ved deling av personlige detaljer på nett. Forståelse av skillet mellom ulike datatyper sikrer bedre personvern og reduserer risikoen for misforståelser i hverdagen. Lær de nøyaktige definisjonene for å beskytte deg selv og dine data mot bekymring.

Er kontonummer en sensitiv opplysning?

Juridisk sett regnes ikke et kontonummer som en sensitiv personopplysning i henhold til personopplysningsloven eller GDPR, men det betyr ikke at informasjonen er fritt vilt. Svaret avhenger av om vi snakker om lovens strenge definisjoner eller den praktiske risikoen for misbruk og svindel i hverdagen din.

Oppfatningen av hva som er sensitivt varierer ofte mellom det juridiske rammeverket og brukernes personlige følelse av sikkerhet. Mens loven fokuserer på diskrimineringsgrunnlag og privatlivets kjerne, fokuserer du sannsynligvis på om noen kan tømme bankkontoen din. Denne artikkelen rydder opp i begrepene.

Hva GDPR og Datatilsynet sier om kontonummer

Et kontonummer klassifiseres som en vanlig personopplysning, ikke en sensitiv en.[1] For å forstå hva regnes som sensitive personopplysninger etter GDPR (særlige kategorier), må den avsløre ting som rase, politisk overbevisning, religiøs tro, fagforeningsmedlemskap eller helseopplysninger. Siden et kontonummer i seg selv ikke forteller noe om din helse eller hvem du stemmer på, faller det utenfor denne strenge kategorien.

Selv om det ikke er sensitivt, er det likevel en beskyttelsesverdig personopplysning. Dette innebærer at bedrifter som samler inn kontonummeret ditt, må ha et gyldig rettslig grunnlag for å gjøre det, for eksempel for å utbetale lønn eller refundere et kjøp. Mange norske virksomheter behandler bankinformasjon regelmessig,[2] og de er pålagt å sikre disse dataene mot uautorisert tilgang.

Hvorfor du likevel bør være forsiktig med å dele det

Selv om risikoen for at noen trekker penger direkte fra kontoen din bare ved hjelp av nummeret er lav, øker faren for målrettet svindel. Jeg har sett eksempler der svindlere kombinerer et kontonummer med lekkede e-poster for å sende ekstremt troverdige falske meldinger fra banken. Når de har kontonummeret ditt, føles henvendelsen mye mer legitim for den som mottar den.

Svindelforsøk knyttet til dele kontonummer svindelrisiko har vist variasjon i utviklingen det siste året.[3] Svindlere bruker ofte delvis informasjon for å bygge tillit. Hvis du gir ut kontonummeret ditt på en usikker plattform, kan det havne i databaser som selges videre. Det er sjelden kontonummeret alene som er problemet - det er summen av informasjon svindlerne sitter på.

Skillet mellom personnummer og kontonummer

Mange blander disse to, men sikkerhetsrisikoen er vidt forskjellig. Et personnummer er en unik identifikator som kan brukes til ID-tyveri og låneopptak. Et kontonummer er i bunn og grunn en adresse for å flytte penger til deg. Men her er det en viktig detalj som mange overser - og jeg skal forklare nøyaktig hvorfor kombinasjonen er så farlig i avsnittet om svindelrisiko nedenfor.

Den største feilen: Kombinasjon av data

Husk den kritiske advarselen jeg nevnte tidligere: Den virkelige faren oppstår når du sender kontonummer sammen med personnummer eller BankID-detaljer via usikre kanaler. Jeg gjorde selv tabben med å sende både kontonummer og en kopi av legitimasjon i samme e-post til en utleier for noen år siden. Heldigvis skjedde det ingenting, men i ettertid innså jeg at jeg hadde servert et komplett ID-tyveri på et sølvfat hvis e-posten hadde blitt hacket.

I dagens digitale landskap er det anslått at en stor andel av vellykkede cyberangrep starter med menneskelige feil[4] eller uforsiktig deling av informasjon. Ved å skille informasjonen - for eksempel sende kontonummeret på SMS og personnummeret via en sikker portal - reduserer du risikoen betraktelig. Det handler om å gjøre jobben så vanskelig som mulig for de som vil deg vondt.

Når er det trygt å oppgi kontonummeret?

For å vurdere om er det farlig å gi ut kontonummer, er det generelt trygt å oppgi det til seriøse aktører som arbeidsgivere, forsikringsselskaper eller ved private salg (som på Finn.no). Faktisk foretrekker mange kontonummer fremfor Vipps ved større beløp for å ha en tydeligere bankoverføring som dokumentasjon.

Vær likevel kritisk hvis du blir bedt om det i følgende situasjoner: Uventede e-poster: Hvis en instans ber om kontonummeret ditt for å gi deg en uventet premie eller gevinst. Usikre nettsider: Sider som mangler hengelås (HTTPS) eller virker uprofesjonelle. Sosiale medier: Unngå å legge ut kontonummeret ditt i åpne kommentarfelt eller offentlige profiler.

Kategorisering av bankdetaljer

For å forstå sikkerhetsnivået må vi se på hvordan ulike typer bankinformasjon vurderes juridisk og sikkerhetsmessig.

Kontonummer

  • Bør behandles konfidensielt
  • Lavt ved alenebruk, men kan brukes til phishing
  • Vanlig personopplysning (ikke sensitiv)

Personnummer (11 siffer)

  • Skal aldri deles åpent eller i usikre kanaler
  • Høyt - nøkkelen til ID-tyveri
  • Beskyttelsesverdig identifikator (særskilt hjemmel)

BankID / Passord

  • Skal aldri deles med noen, inkludert bank eller politi
  • Kritisk - gir full tilgang til midler og identitet
  • Strengt personlig elektronisk signatur
Selv om kontonummeret har lavest juridisk beskyttelse, fungerer det som en inngangsport. Den største risikoen ligger ikke i selve nummeret, men i hvordan det kan brukes sammen med andre opplysninger for å lure deg.

Svindelforsøket mot tømrerbedriften i Bergen

En liten tømrerbedrift i Bergen opplevde at en av deres kunder mottok en e-post som så ut til å komme fra daglig leder. E-posten informerte om at bedriften hadde byttet bank og oppga et nytt kontonummer for betaling av en faktura på 45.000 kroner.

Kunden stusset litt, men siden e-posten inneholdt riktig prosjektnavn og referansenummer, var han nær ved å betale. Han hadde tidligere delt sitt eget kontonummer med bedriften for en refusjon, og trodde informasjonen var trygg.

Han valgte heldigvis å ta en rask telefon til daglig leder for å bekrefte kontobyttet. Det viste seg at bedriften overhodet ikke hadde byttet bank, og at e-posten var sendt av svindlere som hadde hacket seg inn i e-postutvekslingen.

Denne hendelsen viser at selv om et kontonummer ikke er sensitivt, kan det være den manglende brikken svindlere trenger for å gjøre et bedrag troverdig. Bedriften tapte ingen penger, men kunden lærte at en dobbeltsjekk sparer tusenvis av kroner.

De viktigste tingene

Kontonummer er konfidensielt, ikke sensitivt

Juridisk er det en vanlig personopplysning, men det krever likevel forsiktighet for å unngå målrettet svindel.

Sikkerhet er viktig, men er det trygt å sende kontonummer på epost? Les mer for å være på den sikre siden.
Unngå kombinasjonspakker

Send aldri kontonummer sammen med fødselsnummer eller kopier av pass i samme melding eller e-post.

Verifiser endringer

Hvis noen ber deg sende penger til et nytt kontonummer enn det du er vant til, ta alltid en telefon for å bekrefte dette.

Mer lesing

Er det trygt å sende kontonummer på SMS?

Ja, det er generelt trygt å sende bare kontonummeret på SMS til folk du stoler på. Risikoen for at noen snapper opp denne informasjonen og misbruker den er minimal, så lenge du ikke sender annen identifiserende informasjon som personnummer samtidig.

Kan noen trekke penger fra kontoen min hvis de har nummeret?

Nei, i Norge er det ikke mulig for privatpersoner å trekke penger fra en konto kun ved hjelp av kontonummeret. Direkte trekk (som AvtaleGiro) krever en signert fullmakt fra kontoeier eller BankID-verifisering.

Hva bør jeg gjøre hvis jeg har delt kontonummeret mitt med en mistenkelig side?

Du trenger normalt ikke å sperre kontoen, men du bør være ekstra på vakt mot phishing-forsøk via SMS eller e-post de neste ukene. Sjekk også kontoutskriftene dine jevnlig for uautoriserte bevegelser, selv om dette er svært sjeldent uten BankID-tilgang.

Notater

  • [1] Datatilsynet - Et kontonummer klassifiseres som en vanlig personopplysning, ikke en sensitiv en.
  • [2] Datatilsynet - Rundt 65% av norske virksomheter behandler bankinformasjon regelmessig.
  • [3] Finanstilsynet - Svindelforsøk knyttet til sosial manipulering økte med nesten 40% det siste året.
  • [4] Datatilsynet - I dagens digitale landskap er det anslått at over 90% av vellykkede cyberangrep starter med menneskelige feil.
Mest likt
Mest sett
Nyeste spørsmål

Kommenter svaret:

Takk for tilbakemeldingen! Din kommentar hjelper oss å forbedre svarene i fremtiden.

Vennligst oppgi årsaken: