Hvilke regler gjelder for innhenting av informasjon via Internett?

Bekrefte kundens identitet

Når virksomheter kommuniserer gjennom elektroniske kanaler og det som det kommuniseres krever at virksomheten er sikker på at mottageren er den vedkommende sier han er, er det virksomhetens plikt å bekrefte at det stemmer. Altså at den i andre enden virkelig er den han eller hun utgir seg for å være. En måte å oppnå dette på er at virksomheten bruker kvalifiserte elektroniske signaturer eller andre signaturer, der dette er tilstrekkelig. Dette gjelder kun for elektronisk kommunikasjon eller dialog. Prinsippet om anonym ferdsel på Internett skal etterleves så langt det er mulig, det vil si at alle skal kunne gjøre generelle søk eller lete etter annen generell informasjon på virksomhetens nettside, søkemotor eller annet uten å måtte oppgi hvem de er.

Sjekkliste for virksomheter som innhenter personopplysninger via Internett:

1. Virksomheten må sikre at de vet hvem de kommuniserer med. Ved etablering av nye kundeforhold som innebærer kontroll over kundeforholdet eller et kredittelement er det særlig viktig å kontrollere kundens identitet. Datatilsynet anbefaler at virksomheten bruker for eksempel rekommandert sending eller en annen sikker sending til kundens folkeregistrerte adresse for å sikre seg mot nettsvindlere.
2. Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon Datatilsynet anbefaler derfor at kundene eller brukeren av en tjeneste selv må legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk.
3. Virksomhetens skjema eller system må ikke gi tilbakemelding på om informasjonen som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser eller til å verifisere personopplysninger.
4. Skjemaer, innloggingsløsninger og andre systemer virksomheten bruker må sikres mot automatisk innhøsting av opplysninger. En løsning er å bruke piktogram. Da må kunden eller brukeren må fylle inn det de ser i ruten for å bekrefte at det er et menneske og ikke en maskin i andre enden.
5. Virksomheten må sikre kanalene for utveksling av personopplysninger. Kryptering av kommunikasjonen er en måte å løse dette på.
6. Når en virksomhet bruker skjematjenester for utfylling av opplysninger, bør det legges inn begrensninger for hvor mange forsøk samme individ eller maskin får på legge inn opplysninger. En løsning på dette kan være å legge inn IP- eller TCP-sesjon begrensinger. Disse må da legges inn i begrenset tid for å unngå unødvendig logging.
7. Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post med personrelatert informasjon til en adresse brukeren selv har lagt inn i skjemaet med mindre informasjonen har et lavt beskyttelsesbehov. Husk også at usikret e-post ikke er egnet for å sende ut brukernavn og passord.
8. Dersom virksomheten skal foreta en kredittsjekk av kunde eller bruker, må vedkommende få tydelig beskjed om dette og når kredittsjekken vil gjøres.
9. Dersom en virksomhet innhenter fødselsnummer for å kunne foreta en kredittsjekk skal fødselsnummeret slettes umiddelbart etter at kredittsjekken er gjennomført. Virksomheten kan ikke beholde fødselsnummeret i sine registre uten å ha et behandlingsgrunnlag for fødselsnummer.

Informasjonsplikt

Den som samler inn personopplysninger om noen har plikt til å informere den registerte om dette. Vedkommende som registreres skal også informeres dersom det samles inn opplysninger om han eller hun fra andre enn vedkommende selv.

Kilde: Datatilsynet