Er personnummer sensitive opplysninger?

Er personnummer sensitive opplysninger? Nei, men beskyttelsesverdig

Spørsmålet om er personnummer sensitive opplysninger skaper usikkerhet når personlig informasjon deles digitalt eller fysisk. Uforsiktig omgang med identifikasjonsnumre medfører risiko for uønsket innsyn og utfordringer knyttet til personvernet. Kunnskap om korrekt håndtering sikrer trygg informasjonsutveksling og beskytter mot feilaktig bruk av personopplysninger i ulike systemer.

Er personnummeret ditt sensitivt eller bare privat?

Juridisk sett regnes fødselsnummer sensitive personopplysninger ikke som sanne i henhold til loven, men det er en strengt beskyttelsesverdig opplysning som krever sikker håndtering. Det er en utbredt misforståelse at personnummeret er i samme kategori som helseopplysninger eller religiøs overbevisning, men i praksis skal det behandles med nesten like stor forsiktighet for å hindre misbruk og identitetstyveri.

Selv om det ikke er sensitivt i lovens forstand, er det ikke fritt frem for hvem som helst å be om det. Faktisk opplever rundt 150.000 nordmenn identitetstyveri de siste to årene, og i mange av disse tilfellene er personnummeret en nøkkelkomponent for svindlerne. Dette utgjør omtrent 3,4 prosent av befolkningen over 18 år. Derfor er reglene for når og hvordan tallet kan brukes, strengere enn for for eksempel navnet eller adressen din.

Jeg har selv stått i situasjoner der en ekspeditør i en klesbutikk har spurt om personnummeret mitt bare for at jeg skal få noen skarve medlemspoeng. Det føltes helt feil. Og det var det også. Sjelden har jeg sett så mye forvirring rundt et juridisk begrep som her - men husk at bare fordi noe ikke er sensitivt på papiret, betyr det ikke at det er ufarlig å dele.

Når har andre lov til å spørre om personnummeret ditt?

For at en virksomhet skal ha lov å spørre om personnummer, må det foreligge et saklig behov for sikker identifisering. Dette betyr at opplysningen må være nødvendig for å oppnå sikker identifikasjon, og at det ikke finnes andre, mindre inngripende metoder som fungerer like godt. Typiske eksempler inkluderer banktjenester, skattemyndigheter, helsevesenet og forsikringsselskaper.

Hva betyr egentlig saklig behov i hverdagen? Det betyr at frisøren din eller treningssenteret ditt som regel ikke har lov til å kreve dette tallet for en enkel booking. Det finnes unntak, men hovedregelen er klar. Hvis du blir spurt, har du rett til å vite nøyaktig hvorfor de trenger det og hvordan de planlegger å beskytte det. Ikke vær redd for å si nei.

Mange tror at personnummeret er nøkkelen til alt. Det stemmer ikke helt. Men det er en viktig brikke. Da jeg begynte å jobbe med digital sikkerhet, trodde jeg også at personnummeret var det mest hemmelige vi eide. Sannheten er at tallet i seg selv er relativt tilgjengelig, men det er koblingen mellom tallet og din identitet som er verdifull for de med uærlige hensikter.

Hvordan sende personnummer på en trygg måte?

Du skal aldri dele personnummer på e-post i en vanlig, ukryptert kanal. E-post fungerer teknisk sett som et postkort; alle som håndterer forsendelsen underveis kan i teorien lese innholdet. Dette er en feil mange mindre norske bedrifter fortsatt gjør når de ber kunder om dokumentasjon. De glemmer at sikkerhet ikke bare er en anbefaling, men et lovkrav. ^[3]

Bruk sikre kanaler i stedet. Dette kan være innlogging med BankID, sikre opplastingsportaler eller i verste fall fysisk post i lukket konvolutt. Hvis en bedrift ber deg sende bilde av passet ditt eller skrive ned personnummeret i en melding på sosiale medier, bør varsellampene lyse. Det er rett og slett uforsvarlig. En seriøs aktør vil alltid tilby en trygg måte å dele informasjonen på.

Her er en liten tankevekker: Hvis du først har sendt tallet via e-post, ligger det der for alltid. I innboksen din, i utboksen din, og på serverne til både deg og mottakeren. Det er en risiko som aldri forsvinner helt. Er er personnummer sensitive opplysninger virkelig verdt risikoen for en rask løsning? Svaret er nesten alltid nei.

Forskjellen mellom sensitive og beskyttelsesverdige data

Det er lett å gå i surr når man snakker om personopplysninger. Her er en oversikt over hvordan personnummeret skiller seg fra det loven definerer som sensitive opplysninger.

Sensitive personopplysninger

1. Svært strenge krav - krever nesten alltid eksplisitt samtykke eller lovhjemmel
2. Kan føre til diskriminering eller stor personlig belastning
3. Opplysninger om helse, religion, politikk, genetikk eller seksuell orientering

Personnummer (Beskyttelsesverdig) ⭐

1. Krever saklig behov for sikker identifisering og forsvarlig sikring
2. Høy risiko for identitetstyveri, økonomisk svindel og misbruk
3. Et unikt 11-sifret nummer som identifiserer en person i folkeregisteret

Kristians kamp mot usikre kundeklubber

Kristian, en 34 år gammel lærer fra Trondheim, skulle melde seg inn i en lokal kundeklubb for å få rabatt på maling. Den ansatte i kassen ba ham skrive ned hele personnummeret sitt på en papirlapp sammen med navn og telefonnummer mens andre kunder sto rett bak ham i køen.

Han følte seg presset til å samtykke for å få den lovede rabatten på 20 prosent, men nølte da han så at lappen bare ble liggende åpent på disken. Han spurte hvorfor de trengte det, og fikk til svar at det var slik systemet deres fungerte.

Istedenfor å gi fra seg nummeret, ba han om å få snakke med daglig leder. Det viste seg at butikken hadde et gammelt system som egentlig ikke krevde personnummer, men de ansatte hadde bare fortsatt med den gamle rutinen uten å vite at det var unødvendig.

Butikken endret rutinene sine for alle kunder etter dette, og Kristian fikk rabatten uten å risikere sin digitale identitet. Han lærte at et høflig spørsmål ofte kan avdekke dårlige og ulovlige sikkerhetsrutiner.

Denne artikkelen inneholder generell informasjon om personvern og er ikke juridisk rådgivning. Regelverket kan endres, og individuelle tilfeller kan kreve vurdering av en advokat eller spesialisert rådgiver innen personvern. Kontakt Datatilsynet hvis du mener dine rettigheter er krenket.