Er personnummer offentlig informasjon?

Er personnummer offentlig informasjon? Regler og bruk

Mange lurer på om er personnummer offentlig informasjon som hvem som helst kan finne. Det er viktig å forstå risikoen ved deling av personopplysninger for å unngå identitetstyveri. Ved å kjenne dine rettigheter kan du beskytte din private informasjon og sørge for at nummeret kun brukes til lovlige formål av autoriserte aktører.

Hva sier loven egentlig om personnummeret ditt?

Personnummeret ditt er ikke offentlig informasjon i den forstand at hvem som helst kan søke det opp i et åpent register, men det er heller ikke definert som en sensitiv personopplysning i juridisk forstand. Det er en skjermet opplysning som krever et saklig behov for å bli brukt, og virksomheter må ha hjemmel i lov for å lagre det. Dette skillet mellom skjermet og sensitiv informasjon skaper ofte forvirring.

Selv om det ikke er sensitivt som helseopplysninger, er risikoen ved at det kommer på avveie betydelig. I løpet av et gjennomsnittlig år opplever omtrent 150.000 nordmenn at deres identitet blir forsøkt misbrukt på en eller annen måte. Dette tilsvarer rundt 1,5 prosent av den voksne befolkningen.^[2] Mange av disse tilfellene starter med at et fødselsnummer blir plukket opp fra en usikret e-post eller et fysisk brev. Det er faktisk helt sant. Jeg har selv sett hvor lettvint mange håndterer disse 11 siffrene før de plutselig står der med en faktura for et mobilabonnement de aldri har bestilt.

Hvem har lov til å kreve fødselsnummeret ditt?

Hovedregelen er enkel: En virksomhet kan bare be om personnummeret ditt når det er et saklig behov for sikker identifisering og nummeret er nødvendig for å oppnå dette. Offentlige etater, banker og forsikringsselskaper har nesten alltid en slik hjemmel. Men det finnes én spesifikk feil mange gjør når de blir spurt om personnummer i helt dagdagslige situasjoner - jeg skal forklare hvorfor dette er så viktig i delen om privat sektor lenger ned.

Mange tror at de må oppgi nummeret for å bli medlem på et treningssenter eller i en kundeklubb. Slik er det sjelden. Mange private tjenestetilbydere samler inn mer informasjon enn de strengt tatt har behov for for å levere tjenesten.^[3] Dette skaper unødvendige sårbarheter. Det er litt som å gi fra seg husnøkkelen bare fordi noen skal levere en avis. Ganske unødvendig.

Kravet om saklig behov i praksis

Saklig behov betyr at det må være umulig eller svært vanskelig å identifisere deg på andre måter. Hvis du skal ta opp et lån, må banken vite nøyaktig hvem du er for å sjekke kredittverdigheten din. Her holder det ikke med bare navn og bursdag. Men hvis du skal hente en pakke på posten, er legitimasjon med bilde nok - de trenger ikke å lagre personnummeret ditt i sitt system for fremtiden.

Risikoen ved ID-tyveri i en digital hverdag

Digital svindel har økt det siste året, og fødselsnummeret er ofte selve nøkkelen for svindlerne.^[4] Selv om du ikke kan logge inn i nettbanken med bare personnummeret, kan det brukes til å hente ut mer informasjon om deg eller til å utføre sosial manipulasjon. Svindlere kan ringe deg og utgi seg for å være fra politiet eller banken, og bruke personnummeret ditt for å bygge tillit. Det fungerer skremmende ofte.

Jeg husker en gang jeg nesten gikk i fella selv. En person ringte og leste opp de seks første siffrene mine som om det var et bevis på autoritet. Et kort øyeblikk glemte jeg at de seks første siffrene bare er fødselsdatoen min - noe som er tilgjenvelig for alle med en søkemotor. Det er de fem siste siffrene som er de virkelige vokterne. Aldri gi dem fra deg over telefon hvis du ikke selv har ringt opp et offisielt nummer.

Slik deler du personopplysningene dine trygt

Her er den kritiske feilen jeg nevnte tidligere: Mange velger å sende personnummer på e-post lovlig uten å tenke over sikkerheten, selv om datatilsynet fødselsnummer har klare anbefalinger om kryptering. En e-post er som et postkort - hvem som helst som håndterer serverne underveis kan i teorien lese innholdet. Hvis du må sende fødselsnummeret ditt digitalt, bør du bruke krypterte tjenester eller logge inn med BankID på en sikker portal.

Hvis du sender informasjon per post, skal personnummeret alltid ligge i en lukket konvolutt slik at det ikke er synlig gjennom vinduet eller ved gjennomlysing. For å unngå id tyveri med personnummer risiko, er det avgjørende å kjenne gjeldende regler for bruk av fødselsnummer i det offentlige rom. Enkle grep utgjør en stor forskjell. Alltid tenk deg om to ganger før du skriver ned de 11 siffrene på et papir som skal ligge fremme.

Hva er forskjellen på opplysningstypene?

Det er viktig å forstå hvilken kategori ulike data faller inn under for å vite hvordan de skal beskyttes.

Offentlig informasjon

• Tilgjengelig for alle via folkeregister eller gule sider
• Lavt - brukes til normal kommunikasjon
• Navn, adresse og fødselsdato

Skjermet informasjon (Fødselsnummer)

• Begrenset til virksomheter med saklig behov
• Høyt - skal hindre misbruk og ID-tyveri
• De 11 siffrene i personnummeret ditt

Sensitiv informasjon

• Strenge lovkrav og taushetsplikt
• Svært høyt - reguleres strengt av GDPR
• Helseopplysninger, politisk overbevisning, seksuell legning

Mettes kamp mot et usynlig ID-tyveri

Mette, en 34-åring fra Trondheim, oppdaget at noen hadde bestilt varer for 45.000 kroner i hennes navn etter at hun mistet lommeboken på bussen. Hun trodde først at sperring av bankkortene var nok til å stoppe svindlerne.

To uker senere begynte inkassovarslene å strømme inn. Svindlerne hadde brukt fødselsnummeret fra førerkortet hennes til å opprette kredittkontoer hos flere nettbutikker som ikke krevde BankID ved fakturakjøp.

Hun innså at fødselsnummeret var den virkelige verdien for tyvene, ikke de 200 kronene som lå i lommeboken. Mette måtte bruke over 100 arbeidstimer på å kontakte kredittopplysningsbyråer og politiet.

Etter seks måneder fikk hun slettet gjelden, men hun lever nå med frivillig kredittsperre. Lærdommen var dyrekjøpt: Fødselsnummeret ditt er nøkkelen til din finansielle identitet og må voktes bedre enn kontanter.