Er personnummer sensitiv info?

Er personnummer sensitiv info? Bøter inntil 500.000 kr.

Mange lurer på om er personnummer sensitiv info i hverdagen. Feilaktig håndtering av disse opplysningene medfører betydelig økonomisk risiko og juridisk ansvar for alle involverte parter. Ved å bruke trygge metoder for innsending beskytter du personvernet og unngår alvorlige sanksjoner. Lær de korrekte rutinene for å unngå lekkasjer og unødvendige økonomiske tap.

Er personnummer sensitiv info? Juridisk status vs. praktisk sikkerhet

Svaret på om er personnummer sensitiv info avhenger helt av om du spør en jurist eller en sikkerhetsekspert, da informasjonen befinner seg i en gråsone mellom offentlige data og strengt beskyttede hemmeligheter. Juridisk sett regnes ikke personnummeret (fødselsnummeret) som en sensitiv personopplysning i henhold til personopplysningsloven (GDPR), men det anses som beskyttelsesverdig informasjon som krever særskilt sikkerhetshåndtering.

Selv om det ikke kategoriseres som er fødselsnummer sensitiv informasjon på lik linje med helseopplysninger eller politisk overbevisning, er det strengt regulert hvordan virksomheter kan samle inn og lagre disse elleve sifrene. Omtrent 3% av den voksne befolkningen i Norge opplever identitetstyveri over de siste to årene,^[1] og i mange av disse tilfellene er et på avveie fødselsnummer selve nøkkelen som åpner døren for svindlere. Det er ikke en hemmelighet, men det er definitivt ikke for alle.

Jeg har selv sittet i telefonsamtaler med kundeservice der de ber om personnummeret mitt før jeg i det hele tatt har forklart hva saken gjelder. Det føles ofte unødvendig, og min erfaring er at many bedrifter slurver med rutinene her. Det finnes én situasjon der nesten alle nordmenn oppgir personnummeret sitt uten å blunke, men som faktisk utgjør en betydelig risiko - jeg skal forklare hvilken situasjon dette er i delen om sikker deling lenger ned.

Hva er forskjellen på sensitivt og beskyttelsesverdig?

For å forstå hva regnes som sensitive personopplysninger, må vi se på definisjonene i lovverket. Sensitive personopplysninger (eller særlige kategorier i GDPR) inkluderer data om rase, religion, helse, seksuell orientering eller fagforeningsmedlemskap. Disse har et ekstremt sterkt vern. Personnummeret faller utenfor denne listen.

Likevel har Norge valgt å gi personnummeret en spesiell status gjennom nasjonale regler. Dette betyr at selv om opplysningen i seg selv ikke er sensitiv, så er bruken av den begrenset til tilfeller der det er et saklig behov for sikker identifisering. Det er altså ikke lovlig for en butikk å be om nummeret ditt bare for at du skal bli medlem i en kundeklubb, med mindre de kan bevise at det er strengt nødvendig for tjenesten.

Tenk på det som en husnøkkel. En nøkkel i seg selv er ikke sensitiv informasjon, men du legger den ikke igjen på kafébordet. Den gir tilgang til noe verdifullt, og derfor må den beskyttes deretter. Lovverket krever at virksomheter krypterer personnummeret når det sendes digitalt, og lagrer det på en måte som hindrer uvedkommende tilgang.

Når har noen lov til å be om personnummeret ditt?

Hovedregelen er enkel: De må ha et saklig behov for det. Dette oppstår vanligvis når det er avgjørende å skille deg fra en annen person med samme navn, eller når lovverk krever det - som i banktjenester, skattespørsmål eller helsehjelp. I disse tilfellene er det forventet at du oppgir nummeret.

Men her er en realitetssjekk: Mange lurer på er det lov å be om personnummer bare fordi det er praktisk for dem. I min tid som rådgiver har jeg sett bedrifter som bruker fødselsnummer som kundenummer rett og slett fordi de ikke har giddet å lage sitt eget system. Dette er ulovlig. Hvis du blir bedt om personnummeret i en situasjon som føles triviell, bør du alltid spørre: Hvorfor trenger dere dette, og kan jeg identifisere meg på en annen måte?

Vanlige legitime grunner inkluderer: Opprettelse av bankkonto eller lån, inngåelse av forsikringsavtaler, kjøp på kreditt eller faktura (kredittsjekk), helsejournaler og resepter, samt ansettelsesforhold og lønn.

Risikoen ved deling: Hva kan skje ved misbruk?

Det er en vanlig misforståelse at noen kan ta opp et millionlån i ditt navn bare med fødselsnummeret ditt. Slik er det heldigvis ikke i dag, da de fleste banker krever BankID eller fysisk oppmøte med legitimasjon. Men misbrukspotensialet er likevel stort når informasjonen kombineres med andre data.

Svindlere bruker ofte informasjonen fordi de vet kan personnummer misbrukes til å utføre sosiale manipulasjonsangrep. Ved å kjenne dine elleve sifre, kan de ringe et mobilselskap eller en nettbutikk og fremstå som svært troverdige. De kan endre fakturaadressen din, bestille nye SIM-kort eller kjøpe dyre varer på kreditt. Rundt 150.000 nordmenn opplever over de siste to årene en form for identitetskrenkelse, og ^[2] mange av disse sakene starter med at personnummeret har kommet på avveie.

Dette skjedde faktisk med en bekjent av meg. Hun trodde hun bare oppga nummeret til en offentlig undersøkelse på nett. En uke senere var postkassen hennes tømt, og flere kredittkort var bestilt i hennes navn. Det tok måneder å rydde opp. Lærdommen? Stol aldri på en nettside som ber om personnummer uten at du er logget inn med BankID eller lignende sikkerhetsløsninger.

Sikker sending av personopplysninger

Her kommer vi til den situasjonen jeg nevnte tidligere, hvor mange feiler. Den vanligste feilen nordmenn gjør, er å sende personnummeret sitt i en vanlig e-post. En e-post uten kryptering er som et postkort - hvem som helst med teknisk innsikt kan lese innholdet mens det sendes over nettet.

Virksomheter som ber deg sende kopi av pass eller fødselsnummer via e-post, bryter faktisk personopplysningsloven. Det finnes strenge regler for håndtering av personnummer, og bøter for slike brudd har i enkelte tilfeller ligget på mellom 200.000 og 500.000 kroner for mindre virksomheter, nettopp ^[3] fordi risikoen for lekkasje er så høy. Hvis du må sende slike data, bruk en sikker portal, kryptert fil eller - i verste fall - gammeldags post i lukket konvolutt.

Husk også at du aldri skal legge ut personnummeret ditt på sosiale medier eller åpne nettsider. Selv om du tror du sletter det raskt, blir dataene ofte snappet opp av roboter som tråler nettet etter nettopp denne typen informasjon. Vær gjerrig på tallene dine. Det koster deg ingenting å si nei, men det kan koste deg dyrt å si ja til feil person.

Forskjellen på ulike typer personopplysninger

Alminnelige opplysninger

Lavt - brukes mest til markedsføring eller enkel kontakt

Lavt - anses som offentlig tilgjengelig i de fleste sammenhenger

Navn, adresse, e-post, telefonnummer

Personnummer (Fødselsnummer) ⭐

Høyt - kritisk komponent i identitetstyveri og svindelforsøk

Middels - beskyttelsesverdig informasjon, men ikke sensitiv i lovens forstand

Fødselsdato pluss personnummer (11 sifre)

Sensitive opplysninger

Kritisk - kan føre til diskriminering eller stor personlig belastning

Svært høyt - strengt forbud mot behandling uten særskilt grunnlag

Helseopplysninger, religiøs tro, politisk ståsted

Lises kamp mot ID-tyveriet

Lise, en 42 år gammel lærer fra Bergen, var på utkikk etter en ny utleiebolig på en populær markedsplass. Hun ble kontaktet av en person som utga seg for å være utleier og ba om personnummeret hennes for å gjennomføre en "obligatorisk bakgrunnssjekk" før visning.

Hun sendte nummeret i en vanlig e-post, overbevist om at dette var standard prosedyre. Da "utleieren" sluttet å svare, tenkte hun først at boligen bare var utleid til noen andre, men i virkeligheten hadde svindleren fått alt de trengte.

To uker senere begynte fakturaene å strømme inn for mobilabonnementer og elektronikk hun aldri hadde bestilt. Hun innså at personnummeret hadde blitt brukt til å omgå enkle sikkerhetskontroller hos ulike tjenesteleverandører som ikke krevde BankID.

Etter 6 måneder med politianmeldelser og kontakt med inkassoselskaper fikk hun slettet kravene. Lise lærte at et personnummer aldri skal deles før man har møtt motparten eller brukt en sikker identifiseringsløsning, og hun har nå frivillig sperret seg for kredittsjekk.