Gå til innhold
Trenger du råd om juss? Still spørsmål anonymt her ×

Arbeidsgiver vil ha personnummer og ID-kopi via e-post


Anbefalte innlegg

I jobben min har jeg behov for HMS-kort (/byggeplasskort). Mitt kort må fornyes og da har jeg fått beskjed om å sende følgende på e-post til en «kortansvarlig» i bedriften:

 

Personnummer – 11 siffer

Bilde – jpeg format, sort/hvitt mot hvit bakgrunn, høy oppløsning

Underskrift – jpeg, høy oppløsning

Kopi av id – jpeg, høy oppløsning

 

Personnummer skal vel ikke sendes ukryptert etter det jeg har fått med meg, ref Datatilsynet. Kopi av ID vil vel ha personnummer, så denne bør vel heller ikke sendes ukryptert.

 

Dette bør vel gjelde selv om det bare er internt i bedriften man sender? «Kortansvarlig» sender det sikkert ut av bedriften, men eposten går vel uansett til Microsoft sin skytjeneste og dermed ut på verdsveven.

 

Er mine betraktninger korrekte, og hva bør man svare når man blir bedt om å sende slike opplysninger på e-post? Det er tydeligvis standarden i bedriften siden det er veldig mange som har slikt kort (typ hundrevis av ansatte).

 

Forresten: Da jeg søkte om våpentillatelse måtte politiet få tilsendt kopi av legitimasjon, dette ble gjort via e-post. Dette var vel heller ikke helt innafor?



Anonymous poster hash: 0d8af...aa0
Lenke til kommentar
Videoannonse
Annonse

Fødselsnummer er oppskrytt. Man kan finne ut av noens hele fødselsnummer på under 5 minutt til hvem som helst så lenge man vet navn og adresse. Du får ikke gjort noe mer med en person du har fødselsnummer til enn en du ikke har det til.

  • Liker 2
Lenke til kommentar

Det er svært uvanlig at bedrifter ikke har e-post løsninger som støtter kryptering av e-post. Du kan sjekke din egen private e-post tjener og arbeidsgiverens e-post tjeneste på denne siden så finner du fort ut om det er tilfelle. Er dette ting som du må scanne uansett kan du gjøre det internt i bedriften da den interne trafikken på e-post nok uansett er kryptert.

  • Liker 1
Lenke til kommentar

Fødselsnummer er oppskrytt. Man kan finne ut av noens hele fødselsnummer på under 5 minutt til hvem som helst så lenge man vet navn og adresse. Du får ikke gjort noe mer med en person du har fødselsnummer til enn en du ikke har det til.

 

 

Det er intensjonen. I praksis er det dessverre slik at mange saksbehandlere hos diverse firmaer har brukt det faktum at noen kan oppgi personnummer som tilstrekkelig bevis for at de er vedkommende. Man har dermed kunnet omadressere, tegne abonnement og slike ting, kun fordi man har kunnet oppgi et personnummer.

 

Det skal ikke egentlig være mulig, men er det allikevel.

Endret av henrikwl
  • Liker 1
Lenke til kommentar

Det er svært uvanlig at bedrifter ikke har e-post løsninger som støtter kryptering av e-post. Du kan sjekke din egen private e-post tjener og arbeidsgiverens e-post tjeneste på denne siden så finner du fort ut om det er tilfelle. Er dette ting som du må scanne uansett kan du gjøre det internt i bedriften da den interne trafikken på e-post nok uansett er kryptert.

Det der er ikke kryptering av e-postmeldingen men kommunikasjonen mellom servere e-posten sendes.

 

Dvs e-posten er fortsatt fullt leselig i klartekst på serveren selv om TLS er på.

Lenke til kommentar

Jeg tror nok veldig mange ikke er så nøye på dette, men du kan vel heller sende dette per post hvis du syntes det er ubehagelig og sende over mail?

 

Når det kommer og finne personnummer til folk flest generelt, så er det som nevnt tidligere her veldig enkelt, man trenger bare bosted adresse og navnet ditt. Dette er i seg selv svært beklagelig på grunn av at folk kan tegne all mulig dritt på deg.

 

Jeg personlig bryr meg ikke så voldsomt om dette siden jeg har allerede lagt inn sperre på mitt personnummer i kredittopplysningsselskapene, så hvis noen prøver og benytte dette til opprettelse av noe vil ikke dette fungere, ergo så blir det hele nytteløst.

 

Spør om du kan sende dette per post istedet.

Lenke til kommentar

Du kan sende det på epost om du vil. Loven legger ikke begrensningen på deg som eier av opplysningene. Men på den som behandler dem for deg. Mao kan ikke arbeidsgiver kreve at du sender personopplysninger over en kanal som ikke er godkjent for den type informasjon. 

F.nr er ikke sensitivt (ref Personopplysningsloven § 2), men gjerne omtalt som beskyttelsesverdig. Det er selvsagt irrelevant hvor lett/vanskelig det er å finne det på andre måter. 

Fortsatt gjelder hovedregelen om at du bør betrakte epost som et postkort. Hvilken info er du trygg på å sende på et postkort?

Lenke til kommentar

Men det og sende sensetive ting på papir er trygt? Det er jo en helt trygt, i hvertfall i følge logikken til Datatilsynet...

 

 

Det er vanskelig å se gjennom en lukket konvolutt, og det finnes attpåtil spesielle konvolutter laget spesifikt for å sende sensitivt materiale. I tillegg er det strengt forbudt å åpne noen andres post. At det er tryggere enn å sende det på et postkort (som det å sende noe på e-post kan sammenlignes med) er vel ikke så veldig vanskelig å være enig i?

  • Liker 1
Lenke til kommentar

Man trenger ikke hacke en epostkonto for å få tilgang på personopplysninger i eposten, uautorisert. Du vet gjerne heller ikke hvor mange admins mottakers epostserver har. Og deres sikkerhetsnivå.

Feilsendelser for epost er relativt høyt i tillegg.

 

Datatilsynet er heller ikke lovgiver i Norge. De må forholde seg til Stortingets bestemmelser, som alle andre.

Lenke til kommentar

Elektronisk sending av fødselsnummer må sikres slik at det ikke er tilgjengelig for andre enn adressaten (personopplysningsforskriften § 10-2). Vanlig, ikke-kryptert e-post er i utgangspunktet en åpen kommunikasjonsform som ikke vil tilfredsstille dette kravet. E-post går heller ikke direkte fra avsender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Hadde e-post hatt en mer direkte rute, kunne dette vært en tilfredsstillende løsning.

 

Eksempel på dette er når virksomheten sender lønnslippen til den ansattes private e-postadresse. En slik utsendelse vil kreve at lønnslippene er kryptert, det vil ikke være tilfredsstillende at kun kommunikasjonskanalen er kryptert.

 

For å gjøre en lang historie kort. Ja, arb giver kan spørre om disse opplysningene. Mange har dårlige rutiner og dataene dine kan havne i feil hender. Ta forhåndsregler selv og legg de private opplysningene i en kryptert pdf. Dette er trolig det aller enkleste.

Endret av naldy
Lenke til kommentar

Er enklere og ta ett brev i en postkasse enn og hacke en mailkonto.

Ved innbrudd som gir tilgang til mail på en konto vet man ofte ikke at så har skjedd, når et brev blir borte i posten vet man som hovedsak dette. Det er også en forskjell det er verdt å merke seg.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...