Har du sjekket at du oppfyller reglene som gjelder for innhenting av personlig informasjon via nettsidene dine, f.eks. i forbindelse med utfylling av et kontaktskjema eller registrering av kundeopplysninger ved bestilling av noe?
Alle virksomheter, fra enkeltmannsforetak til store foretak, er ansvarlig for å sikre at innhentingen av personopplysninger via internett skjer på en sikker måte. Datatilsynet sier at dette betyr at virksomheten både skal ha gjennomført en risikovurdering og sørge for å ha tilfredsstillende informasjonssikkerhet for opplysningene.
Under finner du Datatilsynet veiledning for innhenting av personopplysninger via Internett.
Hva kan gå galt
Hvis opplysningene som kommuniseres via Internett ikke sikres godt nok, kan uvedkommende få tilgang til opplysningene. Datatilsynet har gjentatte ganger erfart at nettsider med for dårlig sikkerhet har vært utsatt for innhøsting av store mengder personopplysninger. Hovedgrunnen til at uvedkommende får tilgang til å høste opplysningene er som oftest at disse utnytter en kombinasjon av forskjellige svakheter. Det er alltid en risiko for at personopplysninger som kommer på avveier kan misbrukes. Dersom noen med onde hensikter får tak i opplysningen kan kunder og andre kontakter risikere å bli utsatt for ID-tyveri eller andre former for svindelforsøk. Personopplysninger på avveier skaper derfor stor utrygghet hos kunden. For at vedkommende som eier opplysningene som er på avveier skal kunne forbygge dette, er det svært viktig at han eller hun får beskjed om hendelsen.
Bekrefte kundens identitet
Når virksomheter kommuniserer gjennom elektroniske kanaler og det som det kommuniseres krever at virksomheten er sikker på at mottageren er den vedkommende sier han er, er det virksomhetens plikt å bekrefte at det stemmer. Altså at den i andre enden virkelig er den han eller hun utgir seg for å være. En måte å oppnå dette på er at virksomheten bruker kvalifiserte elektroniske signaturer eller andre signaturer, der dette er tilstrekkelig. Dette gjelder kun for elektronisk kommunikasjon eller dialog. Prinsippet om anonym ferdsel på Internett skal etterleves så langt det er mulig, det vil si at alle skal kunne gjøre generelle søk eller lete etter annen generell informasjon på virksomhetens nettside, søkemotor eller annet uten å måtte oppgi hvem de er.
Sjekkliste for virksomheter som innhenter personopplysninger via Internett:
- Virksomheten må sikre at de vet hvem de kommuniserer med. Ved etablering av nye kundeforhold som innebærer kontroll over kundeforholdet eller et kredittelement er det særlig viktig å kontrollere kundens identitet. Datatilsynet anbefaler at virksomheten bruker for eksempel rekommandert sending eller en annen sikker sending til kundens folkeregistrerte adresse for å sikre seg mot nettsvindlere.
- Automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon Datatilsynet anbefaler derfor at kundene eller brukeren av en tjeneste selv må legge inn relevante personopplysninger når en ny tjeneste skal tas i bruk.
- Virksomhetens skjema eller system må ikke gi tilbakemelding på om informasjonen som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser eller til å verifisere personopplysninger.
- Skjemaer, innloggingsløsninger og andre systemer virksomheten bruker må sikres mot automatisk innhøsting av opplysninger. En løsning er å bruke piktogram. Da må kunden eller brukeren må fylle inn det de ser i ruten for å bekrefte at det er et menneske og ikke en maskin i andre enden.
- Virksomheten må sikre kanalene for utveksling av personopplysninger. Kryptering av kommunikasjonen er en måte å løse dette på.
- Når en virksomhet bruker skjematjenester for utfylling av opplysninger, bør det legges inn begrensninger for hvor mange forsøk samme individ eller maskin får på legge inn opplysninger. En løsning på dette kan være å legge inn IP- eller TCP-sesjon begrensinger. Disse må da legges inn i begrenset tid for å unngå unødvendig logging.
- Etter at et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post med personrelatert informasjon til en adresse brukeren selv har lagt inn i skjemaet med mindre informasjonen har et lavt beskyttelsesbehov. Husk også at usikret e-post ikke er egnet for å sende ut brukernavn og passord.
- Dersom virksomheten skal foreta en kredittsjekk av kunde eller bruker, må vedkommende få tydelig beskjed om dette og når kredittsjekken vil gjøres.
- Dersom en virksomhet innhenter fødselsnummer for å kunne foreta en kredittsjekk skal fødselsnummeret slettes umiddelbart etter at kredittsjekken er gjennomført. Virksomheten kan ikke beholde fødselsnummeret i sine registre uten å ha et behandlingsgrunnlag for fødselsnummer.
Informasjonsplikt
Den som samler inn personopplysninger om noen har plikt til å informere den registerte om dette. Vedkommende som registreres skal også informeres dersom det samles inn opplysninger om han eller hun fra andre enn vedkommende selv.
Kilde: Datatilsynet