Arbeidsgiver vil ha personnummer og ID-kopi via e-post

[AnonymDiskusjon]

I jobben min har jeg behov for HMS-kort (/byggeplasskort). Mitt kort må fornyes og da har jeg fått beskjed om å sende følgende på e-post til en «kortansvarlig» i bedriften:

 

Personnummer – 11 siffer

Bilde – jpeg format, sort/hvitt mot hvit bakgrunn, høy oppløsning

Underskrift – jpeg, høy oppløsning

Kopi av id – jpeg, høy oppløsning

 

Personnummer skal vel ikke sendes ukryptert etter det jeg har fått med meg, ref Datatilsynet. Kopi av ID vil vel ha personnummer, så denne bør vel heller ikke sendes ukryptert.

 

Dette bør vel gjelde selv om det bare er internt i bedriften man sender? «Kortansvarlig» sender det sikkert ut av bedriften, men eposten går vel uansett til Microsoft sin skytjeneste og dermed ut på verdsveven.

 

Er mine betraktninger korrekte, og hva bør man svare når man blir bedt om å sende slike opplysninger på e-post? Det er tydeligvis standarden i bedriften siden det er veldig mange som har slikt kort (typ hundrevis av ansatte).

 

Forresten: Da jeg søkte om våpentillatelse måtte politiet få tilsendt kopi av legitimasjon, dette ble gjort via e-post. Dette var vel heller ikke helt innafor?

Anonymous poster hash: 0d8af...aa0

[fo2re]

Personnummeret har de vel allerede, med mindre du jobber for knapper og glansbilder ?

[Jarmo]

https://www.datatilsynet.no/rettigheter-og-plikter/overordnet-om-rettigheter-og-plikter/fodselsnummer/

[Darkbill]

Fødselsnummer er oppskrytt. Man kan finne ut av noens hele fødselsnummer på under 5 minutt til hvem som helst så lenge man vet navn og adresse. Du får ikke gjort noe mer med en person du har fødselsnummer til enn en du ikke har det til.

[ilpostino]

Det er svært uvanlig at bedrifter ikke har e-post løsninger som støtter kryptering av e-post. Du kan sjekke din egen private e-post tjener og arbeidsgiverens e-post tjeneste på denne siden så finner du fort ut om det er tilfelle. Er dette ting som du må scanne uansett kan du gjøre det internt i bedriften da den interne trafikken på e-post nok uansett er kryptert.

[henrikwl]

Fødselsnummer er oppskrytt. Man kan finne ut av noens hele fødselsnummer på under 5 minutt til hvem som helst så lenge man vet navn og adresse. Du får ikke gjort noe mer med en person du har fødselsnummer til enn en du ikke har det til.

 

 

Det er intensjonen. I praksis er det dessverre slik at mange saksbehandlere hos diverse firmaer har brukt det faktum at noen kan oppgi personnummer som tilstrekkelig bevis for at de er vedkommende. Man har dermed kunnet omadressere, tegne abonnement og slike ting, kun fordi man har kunnet oppgi et personnummer.

 

Det skal ikke egentlig være mulig, men er det allikevel.

Endret 2. mars 2018 av henrikwl

[nomore]

Det er svært uvanlig at bedrifter ikke har e-post løsninger som støtter kryptering av e-post. Du kan sjekke din egen private e-post tjener og arbeidsgiverens e-post tjeneste på denne siden så finner du fort ut om det er tilfelle. Er dette ting som du må scanne uansett kan du gjøre det internt i bedriften da den interne trafikken på e-post nok uansett er kryptert.

Det der er ikke kryptering av e-postmeldingen men kommunikasjonen mellom servere e-posten sendes.

 

Dvs e-posten er fortsatt fullt leselig i klartekst på serveren selv om TLS er på.

[KongWilly]

Jeg tror nok veldig mange ikke er så nøye på dette, men du kan vel heller sende dette per post hvis du syntes det er ubehagelig og sende over mail?

 

Når det kommer og finne personnummer til folk flest generelt, så er det som nevnt tidligere her veldig enkelt, man trenger bare bosted adresse og navnet ditt. Dette er i seg selv svært beklagelig på grunn av at folk kan tegne all mulig dritt på deg.

 

Jeg personlig bryr meg ikke så voldsomt om dette siden jeg har allerede lagt inn sperre på mitt personnummer i kredittopplysningsselskapene, så hvis noen prøver og benytte dette til opprettelse av noe vil ikke dette fungere, ergo så blir det hele nytteløst.

 

Spør om du kan sende dette per post istedet.

[Pop]

Du kan sende det på epost om du vil. Loven legger ikke begrensningen på deg som eier av opplysningene. Men på den som behandler dem for deg. Mao kan ikke arbeidsgiver kreve at du sender personopplysninger over en kanal som ikke er godkjent for den type informasjon. 

F.nr er ikke sensitivt (ref Personopplysningsloven § 2), men gjerne omtalt som beskyttelsesverdig. Det er selvsagt irrelevant hvor lett/vanskelig det er å finne det på andre måter. 

Fortsatt gjelder hovedregelen om at du bør betrakte epost som et postkort. Hvilken info er du trygg på å sende på et postkort?

[agvg]

Men det og sende sensetive ting på papir er trygt? Det er jo en helt trygt, i hvertfall i følge logikken til Datatilsynet...

[henrikwl]

Men det og sende sensetive ting på papir er trygt? Det er jo en helt trygt, i hvertfall i følge logikken til Datatilsynet...

 

 

Det er vanskelig å se gjennom en lukket konvolutt, og det finnes attpåtil spesielle konvolutter laget spesifikt for å sende sensitivt materiale. I tillegg er det strengt forbudt å åpne noen andres post. At det er tryggere enn å sende det på et postkort (som det å sende noe på e-post kan sammenlignes med) er vel ikke så veldig vanskelig å være enig i?

[agvg]

Er enklere og ta ett brev i en postkasse enn og hacke en mailkonto.

[agvg]

Nei, og jeg er selvsagt ikke enig, er ganske vanlig at brev ikke kommer frem.

[BIGG]

Nei, og jeg er selvsagt ikke enig, er ganske vanlig at brev ikke kommer frem.

 

Det er faktisk ganske uvanlig at brev ikke kommer frem. De aller fleste kommer dit de skal - til rett tid.

[Pop]

Man trenger ikke hacke en epostkonto for å få tilgang på personopplysninger i eposten, uautorisert. Du vet gjerne heller ikke hvor mange admins mottakers epostserver har. Og deres sikkerhetsnivå.

Feilsendelser for epost er relativt høyt i tillegg.

 

Datatilsynet er heller ikke lovgiver i Norge. De må forholde seg til Stortingets bestemmelser, som alle andre.

[naldy]

Elektronisk sending av fødselsnummer må sikres slik at det ikke er tilgjengelig for andre enn adressaten (personopplysningsforskriften § 10-2). Vanlig, ikke-kryptert e-post er i utgangspunktet en åpen kommunikasjonsform som ikke vil tilfredsstille dette kravet. E-post går heller ikke direkte fra avsender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Hadde e-post hatt en mer direkte rute, kunne dette vært en tilfredsstillende løsning.

 

Eksempel på dette er når virksomheten sender lønnslippen til den ansattes private e-postadresse. En slik utsendelse vil kreve at lønnslippene er kryptert, det vil ikke være tilfredsstillende at kun kommunikasjonskanalen er kryptert.

 

For å gjøre en lang historie kort. Ja, arb giver kan spørre om disse opplysningene. Mange har dårlige rutiner og dataene dine kan havne i feil hender. Ta forhåndsregler selv og legg de private opplysningene i en kryptert pdf. Dette er trolig det aller enkleste.

Endret 5. mars 2018 av naldy

[agvg]

Men at jeg kan stikke hånda ned i naboens postkasse er åpenbart ikke noen risiko, ei heller de som håndterer brevene, strålende logikk politikere holder seg med.

[Snylter]

Er enklere og ta ett brev i en postkasse enn og hacke en mailkonto.

Ved innbrudd som gir tilgang til mail på en konto vet man ofte ikke at så har skjedd, når et brev blir borte i posten vet man som hovedsak dette. Det er også en forskjell det er verdt å merke seg.