Hvilke regler gjelder for innhenting av informasjon via Internett?


innhenting-personopplysninger

Har du sjekket at du oppfyller reglene som gjelder for innhenting av personlig informasjon via nettsidene dine, f.eks. i forbindelse med utfylling av et kontaktskjema eller registrering av kundeopplysninger ved bestilling av noe?
For at dette skal skje på en sikker måte, må virksomheten sørge for å ha på plass en rekke sikkerhetstiltak, sier Datatilsynet.

Alle virksomheter, fra enkeltmannsforetak til store foretak, er ansvarlig for å sikre at innhentingen av personopplysninger via internett skjer på en sikker måte. Datatilsynet sier at dette betyr at virksomheten både skal ha gjennomført en risikovurdering og sørge for å ha tilfredsstillende informasjonssikkerhet for opplysningene.

Under finner du Datatilsynet veiledning for innhenting av personopplysninger via Internett.

Hva kan gå galt

Hvis opplysningene som kommuniseres via Internett ikke sikres godt nok, kan uvedkommende få tilgang til opplysningene. Datatilsynet har gjentatte ganger erfart at nettsider med for dårlig sikkerhet har vært utsatt for innhøsting av store mengder personopplysninger. Hovedgrunnen til at uvedkommende får tilgang til å høste opplysningene er som oftest at disse utnytter en kombinasjon av forskjellige svakheter. Det er alltid en risiko for at personopplysninger som kommer på avveier kan misbrukes. Dersom noen med onde hensikter får tak i opplysningen kan kunder og andre kontakter risikere å bli utsatt for ID-tyveri eller andre former for svindelforsøk. Personopplysninger på avveier skaper derfor stor utrygghet hos kunden. For at vedkommende som eier opplysningene som er på avveier skal kunne forbygge dette, er det svært viktig at han eller hun får beskjed om hendelsen.

Skjul full artikkel

Bekrefte kundens identitet

Når virksomheter kommuniserer gjennom elektroniske kanaler og det som det kommuniseres krever at virksomheten er sikker på at mottageren er den vedkommende sier han er, er det virksomhetens plikt å bekrefte at det stemmer. Altså at den i andre enden virkelig er den han eller hun utgir seg for å være. En måte å oppnå dette på er at virksomheten bruker kvalifiserte elektroniske signaturer eller andre signaturer, der dette er tilstrekkelig. Dette gjelder kun for elektronisk kommunikasjon eller dialog. Prinsippet om anonym ferdsel på Internett skal etterleves så langt det er mulig, det vil si at alle skal kunne gjøre generelle søk eller lete etter annen generell informasjon på virksomhetens nettside, søkemotor eller annet uten å måtte oppgi hvem de er.

Sjekkliste for virksomheter som innhenter personopplysninger via Internett:

  1. Virksomheten må sikre at de vet hvem de kommuniserer med. Ved etablering av nye kundeforhold som innebærer kontroll over kundeforholdet eller et kredittelement er det særlig viktig å kontrollere kundens identitet. Datatilsynet anbefaler at virksomheten bruker for eksempel rekommandert sending eller en annen sikker sending til kundens folkeregistrerte adresse for å sikre seg mot nettsvindlere.
  2. Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon Datatilsynet anbefaler derfor at kundene eller brukeren av en tjeneste selv må legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk.
  3. Virksomhetens skjema eller system må ikke gi tilbakemelding på om informasjonen som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser eller til å verifisere personopplysninger.
  4. Skjemaer, innloggingsløsninger og andre systemer virksomheten bruker må sikres mot automatisk innhøsting av opplysninger. En løsning er å bruke piktogram. Da må kunden eller brukeren må fylle inn det de ser i ruten for å bekrefte at det er et menneske og ikke en maskin i andre enden.
  5. Virksomheten må sikre kanalene for utveksling av personopplysninger. Kryptering av kommunikasjonen er en måte å løse dette på.
  6. Når en virksomhet bruker skjematjenester for utfylling av opplysninger, bør det legges inn begrensninger for hvor mange forsøk samme individ eller maskin får på legge inn opplysninger. En løsning på dette kan være å legge inn IP- eller TCP-sesjon begrensinger. Disse må da legges inn i begrenset tid for å unngå unødvendig logging.
  7. Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post med personrelatert informasjon til en adresse brukeren selv har lagt inn i skjemaet med mindre informasjonen har et lavt beskyttelsesbehov. Husk også at usikret e-post ikke er egnet for å sende ut brukernavn og passord.
  8. Dersom virksomheten skal foreta en kredittsjekk av kunde eller bruker, må vedkommende få tydelig beskjed om dette og når kredittsjekken vil gjøres.
  9. Dersom en virksomhet innhenter fødselsnummer for å kunne foreta en kredittsjekk skal fødselsnummeret slettes umiddelbart etter at kredittsjekken er gjennomført. Virksomheten kan ikke beholde fødselsnummeret i sine registre uten å ha et behandlingsgrunnlag for fødselsnummer.

Informasjonsplikt

Den som samler inn personopplysninger om noen har plikt til å informere den registerte om dette. Vedkommende som registreres skal også informeres dersom det samles inn opplysninger om han eller hun fra andre enn vedkommende selv.

Kilde: Datatilsynet

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: