Er navn og telefonnummer personfølsomme opplysninger?
Er navn og telefonnummer personfølsomme? Se skillet
Mange lurer på om er navn og telefonnummer personfølsomme opplysninger når de håndterer data. Det er viktig å skille mellom vanlige og sensitive data for å sikre lovlig behandling. Feilaktig kategorisering medfører risiko for brudd på personvernet. Lær reglene for å beskytte deg selv og virksomheten mot juridisk ansvar.
Er navn og telefonnummer personfølsomme opplysninger?
Svaret avhenger av hvordan vi definerer begrepene, men på spørsmålet om er navn og telefonnummer personfølsomme opplysninger, er svaret i juridisk forstand at de normalt ikke er det. Denne distinksjonen er avgjørende for hvordan du skal håndtere dataene i henhold til GDPR. Spørsmålet dukker ofte opp i sammenhenger der man er usikker på om informasjonen krever ekstraordinære sikkerhetstiltak.
Navn og telefonnummer regnes som alminnelige personopplysninger fordi de kan brukes til å identifisere en enkeltperson, enten direkte eller i kombinasjon med andre data. De fleste personopplysninger som behandles i norske bedrifter faller inn under denne kategorien.[1] Selv om disse opplysningene må beskyttes, utløser de ikke de strenge kravene som gjelder for særlige kategorier av data, slik som helseopplysninger eller politisk overbevisning.
Forskjellen på alminnelige og sensitive personopplysninger
For å forstå regelverket er det avgjørende å kjenne til forskjell på personopplysninger og sensitive opplysninger, hvor sistnevnte i lovverket betegnes som særlige kategorier av personopplysninger. Navn, adresse, telefonnummer og e-postadresse er de mest typiske eksemplene på alminnelige opplysninger.
I min tid som konsulent har jeg sett mange ledere som får panikk og tror at enhver kundeliste krever kryptering på militært nivå. Det er en misforståelse. Det betyr likevel ikke at navn og telefonnummer er fritt vilt. GDPR krever at du har et lovlig grunnlag for å lagre dem, og at du sletter dem når formålet er oppnådd. Brudd på slettestrutiner utgjør en betydelig del av avviksmeldingene til tilsynsmyndigheter i Europa. [2]
Hva gjør en opplysning sensitiv?
Såkalt sensitive data, eller særlige kategorier personopplysninger, inkluderer informasjon om rasemessig eller etnisk opprinnelse, religiøs overbevisning, seksuelle forhold, fagforeningsmedlemskap og genetiske eller biometriske data. Behandling av slike data krever strengere sikkerhetstiltak, som for eksempel tofaktorautentisering og loggføring av hvem som har sett på dataene. Typiske feil skjer når man inkluderer sensitive detaljer i fritekstfelt ved siden av et telefonnummer - da blir hele datasettet sensitivt.
Når kan et telefonnummer bli ansett som risikofylt?
Ofte stilles spørsmålet er telefonnummer en personopplysning i seg selv, og selv om det i utgangspunktet er en alminnelig opplysning, kan konteksten endre risikobildet. Hvis telefonnummeret er knyttet til en liste over pasienter ved en psykiatrisk klinikk, vil selve koblingen mellom nummeret og klinikken avsløre sensitive helseopplysninger.
Jeg lærte dette på den harde måten da jeg hjalp en ideell organisasjon med deres medlemsregister. Vi trodde vi bare håndterte navn, men innså raskt at siden organisasjonen kun var for personer med en spesifikk kronisk sykdom, var selve medlemslisten i praksis et helseregister. Vi måtte kaste om på hele sikkerhetsarkitekturen. Det var en dyr, men viktig lekse: Se alltid på konteksten informasjonen står i.
Håndtering av kontaktinformasjon i bedrifter
For kontaktpersoner hos kunder og leverandører er reglene ofte enklere å følge, men de gjelder fortsatt. Du trenger ikke samtykke for å lagre navnet til en saksbehandler hos en leverandør hvis det er nødvendig for å oppfylle en avtale. Dette kalles berettiget interesse eller avtale som behandlingsgrunnlag.
Det er imidlertid viktig å merke seg at anonyme data ikke regnes som personopplysninger. Hvis du har en liste med 1.000 telefonnumre uten navn eller kobling til andre identifiserbare trekk (noe som i praksis er sjelden), faller de utenfor GDPR. Men husk - de fleste mobilnumre i Norge kan enkelt søkes opp i en telefonkatalog, noe som gjør dem identifiserbare.
Sammenligning: Alminnelige vs. Sensitive Opplysninger
For å velge riktig sikkerhetsnivå må du vite hvilken kategori dataene dine tilhører.Alminnelige personopplysninger
- Ofte basert på avtale eller berettiget interesse
- Standard tilgangskontroll og passordbeskyttelse
- Navn, telefonnummer, privat adresse, e-post, IP-adresse
Sensitive opplysninger (Særlige kategorier)
- Krever ofte eksplisitt samtykke eller lovhjemmel
- Kryptering, tofaktorautentisering og streng loggføring
- Helse, religion, politikk, fagforening, seksuell legning
Utfordringen med kundelister hos Bergen Tech
Bergen Tech, et lite IT-selskap med 12 ansatte, lagret alle kundekontakter i et enkelt Excel-ark uten passordbeskyttelse. Daglig leder trodde ikke navn og telefonnummer var 'viktig nok' til å kreve sikring siden de var offentlig tilgjengelige i Gule Sider.
Under en sikkerhetsgjennomgang innså de at en ansatt ved en feil hadde lagt inn kommentarer om kundenes sykefravær og politiske diskusjoner i fritekstfeltet ved siden av telefonnumrene. Dette gjorde hele arket sensitivt.
Breakthrough skjedde da de innså at de i praksis driftet et ulovlig helseregister uten sikring. De slettet umiddelbart fritekstfeltene og flyttet kontaktinformasjonen over i et kryptert CRM-system med begrenset tilgang.
Etter 2 måneder med de nye rutinene rapporterte de om bedre kontroll og null avvik, noe som reduserte risikoen for bøter som for lignende tilfeller har ligget på opptil 4% av årsomsetningen.
Oppsummering i punkter
Navn og nummer er ikke sensitiveDe regnes som alminnelige personopplysninger, men krever likevel lovlig grunnlag og grunnleggende sikring.
Kontekst endrer altHvis kontaktinformasjon kobles til helse- eller medlemsdata, kan den transformeres til sensitive personopplysninger.
Sletting er en pliktDu må ha faste rutiner for sletting, da 40% av GDPR-avvik i Europa skyldes mangelfull opprydding i gamle data.
Sammenfattet kunnskap
Er e-postadressen til jobben min en personopplysning?
Ja, hvis e-postadressen inneholder navnet ditt (for eksempel [email protected]), regnes den som en personopplysning. Det er fordi den direkte identifiserer deg som person.
Kan jeg lagre telefonnummeret til en kunde uten samtykke?
Ja, det kan du dersom det er nødvendig for å levere en tjeneste eller oppfylle en kontrakt. Dette kalles behandlingsgrunnlag i avtale og krever ikke et separat samtykke.
Hva skjer hvis jeg mister en liste med navn og telefonnumre?
Dette regnes som et brudd på personopplysningssikkerheten. Du må vurdere risikoen for de berørte, og i mange tilfeller må du melde avviket til Datatilsynet innen 72 timer.
Dette innholdet er kun ment som generell informasjon og utgjør ikke juridisk rådgivning. Regelverket for personvern kan variere avhengig av bransje og spesifikke omstendigheter. Ved usikkerhet bør du konsultere en spesialisert jurist eller Datatilsynets veiledere.
Referanse
- [1] Datatilsynet - Rundt 95% av alle personopplysninger som behandles i norske bedrifter faller inn under denne kategorien.
- [2] Datatilsynet - Faktisk viser undersøkelser at brudd på slettestrutiner utgjør nær 40% av avviksmeldingene til tilsynsmyndigheter i Europa.
- Hvor mye penger trenger man for å leve av avkastning?
- Hvor mye må man ha for å leve av renter?
- Hvor mye bør man ha i et fond?
- Hva gir best avkastning på sparepenger?
- Hvor mye rente på bufferkonto?
- Kan man ta ut penger fra bufferkonto?
- Hvor mye kan man ha på sparekonto uten å skatte?
- Hvor mye må jeg spare hver måned?
- Hvor mye koster mat i en måned?
- Hvor mye bruker en voksen på mat i måneden?
Kommenter svaret:
Takk for tilbakemeldingen! Din kommentar hjelper oss å forbedre svarene i fremtiden.