Hva er personopplysninger og sensitiv informasjon?

Av Ingrid Bjørdal 10. januar 2020

NorskMakulering_JPG-(00736)-999785-edited

Det er snart et og et halvt år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene. 2019 har vist oss noe. Millionbøter, klager på bestemmelsesbrudd og mange GDPR-kontroller, både her hjemme og i utlandet. Vi må være forberedt på at EUs personvernforordning vil prege det nye året også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?

GDPR skal hindre at personopplysninger kommer på avveie. Det krever blant annet at virksomheter har sikre sletterutiner. Uten slike rutiner kan man få bot selv om opplysningene ikke har kommet på avveie. Det viser en kjennelse fra Tyskland. Der har et eiendomsselskap blitt ilagt en bot på 150 millioner for ikke å ha slettet personopplysninger som de i henhold til GDPR skulle slettet. Boten ble ilagt selv om opplysningene ikke hadde kommet uvedkommende i hende eller blitt misbrukt. Rutinene var ikke gode nok.

Selv om det ikke medfører bøter om annen sensitiv informasjon kommer på avveie, kan det bli kostbart for virksomheter hvis det skjer. Resultatet kan bli tap av omdømme og svekket konkurranseevne.

En grunnleggende forutsetningen for å unngå dramatiske konsekvenser, er å ha oversikt over hva som er personopplysninger og sensitive data. Og husk at disse finnes papirdokumenter i tillegg til PCer og andre digitale lagringsmedier. Sletterutiner må finnes for begge deler.

Personnumre og identifikasjonsopplysninger

Personopplysningsloven definerer personopplysninger som opplysninger eller vurderinger som kan knyttes direkte til en person. Det mest typiske eksemplet på det er personnummeret vårt.  Andre eksempler er navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster og hodeform (for ansiktgjenkjenning).

Loven skiller mellom vanlige og sensitive personopplysninger. De fleste vil kanskje anta at fødselsdato og personnummer hører med til sensitiv informasjon. Det er ikke tilfelle. Fødselsnumre og andre identifikasjonsnumre omfattes ikke av reglene for særlige kategorier av personopplysninger. Bruk av identifikasjonsnumre reguleres av de alminnelige reglene for behandling.

Fødselsnummer kan likevel ikke lagres og behandles fritt. I den forrige personopplysningsloven var det en bestemmelse om at fødselsnummer og andre entydige identifikasjonsmidler bare kan benyttes når det foreligger saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Ansettelsesforhold kan være en begrunnelse for slik bruk av opplysningene. Denne regelen finnes ikke i GDPR.  Likevel er den særnorske bestemmelsen videreført i den nye loven.

Sensitive personopplysninger

GDPR og ny lov stiller særlige krav til hvordan sensitive personopplysninger skal behandles. Som sensitive opplysninger regnes

  • rasemessig eller etnisk bakgrunn
  • politisk, filosofisk eller religiøs oppfatning
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • helseforhold
  • seksuelle forhold
  • medlemskap i fagforeninger

Det kan også være slik at opplysninger som hver for seg ikke regnes som sensitive, blir det når flere av dem finnes i samme dokument. 

Annen sensitiv informasjon

Virksomheter behandler mye annen sensitiv informasjon, som det er viktig at de har gode beskyttelsesrutiner for. Kommer disse på avveie, kan det være skadelig og i verste fall ødeleggende for bedriften. 

Hvordan behandler dere dokumenter med slik informasjon i dag? Er det en risiko for at de havner i papirkurven? Da kan de fort havne i hendene på uvedkommende som kan misbruke dem. 

Hva gjør dere med gamle PCer som ikke lenger er i bruk? Uten sikker sletting av data på dem, kan sensitiv informasjon komme på avveie. 

Hva som er slik sensitiv informasjon som trenger gode sikkerhetsrutiner, må den enkelte virksomhet selv vurdere. Men det vil blant annet være informasjon om konkurranseforhold – både egne og kunders - regnskapsopplysninger, anbudsdokumenter, fakturaer, kundelister, kundenumre, fakturadato, fakturanummer og ordrenummer. 

Når man lager rutiner for sletting av personopplysninger, vil det derfor være naturlig at de rutinene også skal gjelde for andre sensitive data. Makulering ved kverning vil da være en enkel og sikker metode for sletting av informasjon i både papirdokumenter og PCer

Vi har laget en gratis sjekkliste, som kan være nyttig hvis dere ønsker å ta en ny gjennomgang av rutinene for å være sikre på at GDPR-kravene oppfylles. 

LAST NED GRATIS GUIDE : Sikker makulering i din bedrift

Temaer: Sikker makulering, Personvern og GDPR


Ingrid Bjørdal's photo

Av: Ingrid Bjørdal

Ingrid Bjørdal er tidligere administrerende direktør i Norsk Makulering og tidligere direktør for compliance og organisasjonsutvikling i Norsk Gjenvinning. Ingrid begynte i NG i 2001 og har siden den gang hatt stillinger innen nedstrøm/logistikk, vært konserntrainee, HMSK-sjef for NG Industri. HR-sjef for konsernet fra 2007. Ingrid har en Bachelor of Science (BSc) fra Universitet i Oslo og Bergen, og en Master of Science (MSc) i Human Resource Management and Organisational Analysis fra King’s College i London. Hun har hatt flere verv i bransjen, og sitter bl.a. i forhandlingsutvalget på Miljøoverenskomsten og er oppnevnt av NHO som meddommer i arbeidsrettssaker i Oslo Tingrett.

Epost

I Gjenvinningsbloggen ønsker vi å gi både virksomheter og privatpersoner interessant og relevant innhold om temaer som avfallshåndtering, kildesortering, materialgjenvinning og farlig avfall. Vi er en engasjert gjeng med ulik fagkompetanse som bidrar til bloggartikler som publiseres hver uke. Er det temaer du mener vi bør ta tak i, så gi oss et tips!

Bruk gjerne skjemaet til å melde deg på Gjenvinningsbloggen, så får du varsler om nytt innhold.

Besøk også vår hjemmeside www.ngn.no
Gratis Guide: Sikker makulering i din bedrift

Siste innlegg

Temaer

See all