Hva er personopplysninger og sensitiv informasjon?

Av Ingrid Bjørdal 2. jan 2020

Hva er sensitiv informasjon?

Det er snart et og et halvt år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene for personvern. 2019 har vist oss noe av det. Det har vært mange klager på brudd på bestemmelsene og mange GDPR-kontroller både her hjemme og i andre land. Det har blant annet ført til flere millionbøter. Vi må være forberedt på at EUs personvernforordning vil prege det nye året også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?

GDPR skal hindre at personopplysninger kommer på avveie. Det krever blant annet at virksomheter har sikre sletterutiner. Uten slike rutiner kan man få bot selv om opplysningene ikke har kommet på avveie. Det viser en kjennelse fra Tyskland. Der har et eiendomsselskap blitt ilagt en bot på 150 millioner for ikke å ha slettet personopplysninger som de i henhold til GDPR skulle slettet. Boten ble ilagt selv om opplysningene ikke hadde kommet uvedkommende i hende eller blitt misbrukt. Rutinene var ikke gode nok.

Selv om det ikke medfører bøter om annen sensitiv informasjon kommer på avveie, kan det bli kostbart for virksomheter hvis det skjer. Resultatet kan bli tap av omdømme og svekket konkurranseevne.

En grunnleggende forutsetningen for å unngå dramatiske konsekvenser, er å ha oversikt over hva som er personopplysninger og sensitive data. Og husk at disse finnes papirdokumenter i tillegg til PCer og andre digitale lagringsmedier. Sletterutiner må finnes for begge deler.

Personnumre og identifikasjonsopplysninger

Personopplysningsloven definerer personopplysninger som opplysninger eller vurderinger som kan knyttes direkte til en person. Det mest typiske eksemplet på det er personnummeret vårt.  Andre eksempler er navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster og hodeform (for ansiktgjenkjenning).

Loven skiller mellom vanlige og sensitive personopplysninger. De fleste vil kanskje anta at fødselsdato og personnummer hører med til sensitiv informasjon. Det er ikke tilfelle. Fødselsnumre og andre identifikasjonsnumre omfattes ikke av reglene for særlige kategorier av personopplysninger. Bruk av identifikasjonsnumre reguleres av de alminnelige reglene for behandling.

Fødselsnummer kan likevel ikke lagres og behandles fritt. I den forrige personopplysningsloven var det en bestemmelse om at fødselsnummer og andre entydige identifikasjonsmidler bare kan benyttes når det foreligger saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Ansettelsesforhold kan være en begrunnelse for slik bruk av opplysningene. Denne regelen finnes ikke i GDPR.  Likevel er den særnorske bestemmelsen videreført i den nye loven.

Sensitive personopplysninger

GDPR og ny lov stiller særlige krav til hvordan sensitive personopplysninger skal behandles. Som sensitive opplysninger regnes

  • rasemessig eller etnisk bakgrunn
  • politisk, filosofisk eller religiøs oppfatning
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • helseforhold
  • seksuelle forhold
  • medlemskap i fagforeninger

Det kan også være slik at opplysninger som hver for seg ikke regnes som sensitive, blir det når flere av dem finnes i samme dokument. 

Annen sensitiv informasjon

Virksomheter behandler mye annen sensitiv informasjon, som det er viktig at de har gode beskyttelsesrutiner for. Kommer disse på avveie, kan det være skadelig og i verste fall ødeleggende for bedriften. 

Hvordan behandler dere dokumenter med slik informasjon i dag? Er det en risiko for at de havner i papirkurven? Da kan de fort havne i hendene på uvedkommende som kan misbruke dem. 

Hva gjør dere med gamle PCer som ikke lenger er i bruk? Uten sikker sletting av data på dem, kan sensitiv informasjon komme på avveie. 

Hva som er slik sensitiv informasjon som trenger gode sikkerhetsrutiner, må den enkelte virksomhet selv vurdere. Men det vil blant annet være informasjon om konkurranseforhold – både egne og kunders - regnskapsopplysninger, anbudsdokumenter, fakturaer, kundelister, kundenumre, fakturadato, fakturanummer og ordrenummer. 

Når man lager rutiner for sletting av personopplysninger, vil det derfor være naturlig at de rutinene også skal gjelde for andre sensitive data. Makulering ved kverning vil da være en enkel og sikker metode for sletting av informasjon i både papirdokumenter og PCer

Vi har laget en gratis sjekkliste, som kan være nyttig hvis dere ønsker å ta en ny gjennomgang av rutinene for å være sikre på at GDPR-kravene oppfylles. 

 LAST NED GRATIS SJEKKLISTE:EUs nye personvernforordning (GDPR)

Temaer: Makulering, sensitiv informasjon, personopplysninger, GDPR


Ingrid Bjørdal's photo

Av: Ingrid Bjørdal

Ingrid Bjørdal er administrerende direktør i Norsk Makulering. Hun har jobbet i Norsk Gjenvinning siden 2001 og har siden den gang hatt stillinger innen nedstrøm/logistikk, vært konserntrainee, HMSK-sjef for Norsk Gjenvinning Industri og HR-sjef for konsernet siden 2007. I 2016 ble hun direktør for organisasjonsutvikling og compliance. Ingrid har en Bachelor of Science (BSc) fra Universitet i Oslo og Bergen, og en Master of Science (MSc) i Human Resource Management and Organisational Analysis fra King’s College i London. Hun har hatt flere verv i bransjen, og sitter bl.a. i forhandlingsutvalget på Miljøoverenskomsten og er oppnevnt av NHO som meddommer i arbeidsrettssaker i Oslo Tingrett.

Epost

Kommentarer

En blogg fra Norsk Makulering

Norsk Makulering er landets ledende aktør innen makulering. Vi tilbyr sikker makulering av sensitive dokumenter, digitale lagringsmedier, og andre varer og produkter. Hver uke publiserer vi et nytt innlegg her på Makuleringsbloggen.no. Følg oss gjerne!

Se animasjon om vår prosess: norskmakulering.no/prosess

Norsk Makulering prosess

Besøk norskmakulering.no

Last ned gratis sjekkliste: EUs nye personvernforordning (GDPR)

Siste innlegg