Brønnøysundregistrene sendte ut usladdede personopplysninger

[NTB - digi]

Brønnøysundregistrene sendte ut usladdede personopplysninger

[Simen1]

Fødsels- og D-nummer er ikke sensitive personopplysninger ut fra personvernregelverket, og det er heller ikke taushetsbelagt informasjon, men dokumentene skal være sladdet før de sendes ut om mottakerne ikke har hjemmel til å motta slike opplysninger.

Sikker på det? Datatilsynet skriver:

 

Hva skal man kryptere?

 

"Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig." - personopplysningsforskriften § 2-11

 

Vi mener det er nødvendig med konfidensialitet når informasjonen som overføres er:

1. sensitive personopplysninger
2. fødselsnummer
3. personopplysninger om mange
4. personopplysninger som behandlingsansvarlig har klassifisert som beskyttelsesverdig

[nomore]

Men det står ikke der at fødselsnummer er sensitive personopplysninger. Tvert om står sensitive personopplysninger som et eget punkt i tillegg til fødselsnummer.

 

Men når slik info sendes ut så skal det gjøres konfidensielt.

[Civilix]

(...)

 

De skriver sensitive personopplysninger, som er noen få personopplysninger.

https://www.datatilsynet.no/om-personvern/personopplysninger/

 

Det er mange personopplysninger som ikke er sensitive som fortsatt burde beskyttes ekstra, men det gjør de ikke automatisk sensitive. Så ikke noe galt i det artikkelen sier.

[Simen1]

Nettopp. At fødselsnummer er konfidensielt unnlates å bli nevnt. Det virker som de er mer opptatt av semantikk (sensitive vs ikke sensitive personopplysninger) enn å forklare at fødselsnummer skal sendes kryptert og kun til mottakere som skal ha denne infoen.

[nomore]

Hvor står det at det skal sendes kryptert?