Når du henter inn opplysninger om kundene dine via internett, for eksempel via nettsiden din, er du ansvarlig for å sørge for at dette gjøres på en sikker måte.
Dette kravet gjelder alle virksomheter, fra små enkeltpersonsforetak til store bedrifter eller offentlige virksomheter. Det betyr at virksomheten både skal ha gjennomført en risikovurdering og sørge for å ha tilfredsstillende informasjonssikkerhet for opplysningene.
Hva kan gå galt?
Hvis opplysningene som kommuniseres via nett ikke sikres godt nok, kan uvedkommende få tilgang til dem. Datatilsynet har gjentatte ganger erfart at nettsider med for dårlig sikkerhet har vært utsatt for innhøsting av store mengder personopplysninger. Hovedgrunnen til at uvedkommende får tilgang til å høste opplysningene er som oftest at disse utnytter en kombinasjon av forskjellige svakheter.
Det er alltid en risiko for at personopplysninger som kommer på avveier kan misbrukes. Dersom noen med onde hensikter får tak i opplysningen kan kunder og andre kontakter risikere å bli utsatt for ID-tyveri eller andre former for svindelforsøk. Personopplysninger på avveier skaper derfor stor utrygghet hos kunden. For at vedkommende som eier opplysningene som er på avveier skal kunne forbygge dette, er det svært viktig at han eller hun får beskjed om hendelsen.
Les mer om ID-tyveri
Bekrefte kundens identitet
Når det som kommuniseres krever at virksomheten får bekreftet at mottakeren er den han eller hun sier, er det virksomhetens plikt å bekrefte at det stemmer. En måte å oppnå dette på er at virksomheten bruker kvalifiserte elektroniske signaturer eller andre signaturer, der dette er tilstrekkelig. Dette gjelder kun for elektronisk kommunikasjon eller dialog.
Prinsippet om anonym ferdsel på internett skal etterleves så langt det er mulig, det vil si at alle skal kunne gjøre generelle søk eller lete etter annen generell informasjon på virksomhetens nettside, søkemotor eller annet uten å måtte oppgi hvem de er.
Sjekkliste for virksomheter
Virksomheter som henter inn personopplysninger via internett må gjøre følgende:
- Virksomheten må sikre at de vet hvem de kommuniserer med. Ved etablering av nye kundeforhold som innebærer kontroll over kundeforholdet eller et kredittelement, er det særlig viktig å kontrollere kundens identitet.
Datatilsynet anbefaler at virksomheten bruker for eksempel rekommandert sending eller en annen sikker sending til kundens folkeregistrerte adresse for å sikre seg mot nettsvindlere.
- Løsninger for automatisk utfylling av skjema innebærer risiko for innhøsting av informasjon. Datatilsynet anbefaler virksomheten å legge opp til at kundene eller brukerne av en tjenesten selv må legge inn relevante personopplysninger når de skal ta i bruk en ny tjeneste.
- Virksomhetens skjema eller system må ikke gi tilbakemelding på om informasjonen som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser eller til å verifisere personopplysninger.
- Skjemaer, innloggingsløsninger og andre systemer som virksomheten bruker må sikres mot automatisk innhøsting av opplysninger. En løsning er å bruke piktogram. Da må kunden eller brukeren fylle inn det de ser i ruten for å bekrefte at det er et menneske og ikke en maskin i andre enden.
- Virksomheten må sikre kanalene for utveksling av personopplysninger. Kryptering av kommunikasjonen er en måte å løse dette på.
- Hvis virksomheten bruker skjematjenester for utfylling av opplysninger, bør det legges inn begrensninger for hvor mange forsøk samme individ eller maskin får på legge inn opplysninger. En løsning på dette kan være å legge inn IP- eller TCP-sesjonbegrensinger. Disse må da legges inn i begrenset tid for å unngå unødvendig logging.
- Etter at brukeren har sendt inn et elektronisk skjema er sendt inn, bør det ikke sendes ut bekreftende e-post med personrelatert informasjon til en adresse brukeren selv har lagt inn i skjemaet, med mindre informasjonen har et lavt beskyttelsesbehov. Husk også at usikret e-post ikke er egnet for å sende ut brukernavn og passord.
- Hvis virksomheten skal foreta en kredittsjekk av kunde eller bruker, må vedkommende få tydelig beskjed om dette og når kredittsjekken vil gjøres.
- Hvis virksomheten innhenter fødselsnummer for å kunne foreta en kredittsjekk, skal fødselsnummeret slettes umiddelbart etter at kredittsjekken er gjennomført. Virksomheten kan ikke beholde fødselsnummeret i sine registre uten å ha et behandlingsgrunnlag for fødselsnummer.
Les mer om virksomhetens plikter
Informasjonsplikt
Virksomheter som samler inn personopplysninger om noen har plikt til å informere den registerte om dette. Vedkommende skal også informeres dersom virksomheten samler inn opplysninger om han eller henne fra andre enn vedkommende selv.