Endelig kontrollrapport

Transkript

1 Saksnummer: 12/00060 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Protector Forsikring ASA Sted: Oslo Utarbeidet av: Mari Hersoug Nedberg Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte stedlig kontroll hos Protector Forsikring ASA 14. februar Kontrollen ble utført med hjemmel i personopplysningsloven 44 jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig med hensyn til grunnkrav til behandling av personopplysninger, behandlingsgrunnlag, informasjonssikkerhet, internkontroll og sletting. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Fredrik Messel, direktør skadeoppgjør bedrift - Tommy Nygren, IT-sjef 2.2 Fra Datatilsynet: - Mari Hersoug Nedberg, seniorrådgiver - Stein Erik Vetland, overingeniør 3 Generelt Protector Forsikring ASA er et skadeforsikringsselskap med konsesjon fra Finanstilsynet til å drive skadeforsikring, jf. forsikringsvirksomhetsloven 2-1. Selskapet ble stiftet 9. januar 2003 og tok da over den norske delen av markedet til Swiss Re, senere Gabler Rådgivning. Protector fikk konsesjon fra Finanstilsynet i Navnet Protector har tidligere vært brukt av andre selskaper innen forsikring to ganger. Nåværende Protector har ikke driftsmessige forbindelser til disse selskapene. Protector Forsikring er størst i Norge på eierskifteforsikring. Ut over dette jobber selskapet primært opp mot næringslivet samt forsikring av norske kommuner. Selskapet selger gjennom meglere og har ikke direkte distribusjon av forsikring. Selskapet driver heller ikke med livsforsikring. 1 av 11

2 Selskapet har 105 ansatte lokalisert i Oslo. Selskapet ble børsnotert i 2007 og hadde en omsetning på rundt 1,2 milliarder kroner i Kort om bruk av personopplysninger samt formålet med behandlingene Protector er et forsikringsselskap med konsesjon fra Finanstilsynet, og vil i den sammenheng være avhengig av å innhente og behandle personopplysninger. Behovet for å innhente personopplysninger gjør seg spesielt gjeldende ved tegning av personforsikringer og ved skadeoppgjør. Personopplysninger som behandles i Protector omfatter blant annet: - personopplysninger, herunder fødselsnummer - helseopplysninger - opplysninger om arbeidstakere, herunder tilknytning til fagforening - straffbare forhold ved svik Datatilsynet har sett på behandlingen av personopplysninger i selskapet, primært behandlingen av helseopplysninger om forsikringstakere. 5 Grunnkrav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningsloven 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette etter personopplysningsloven 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningsloven 11 bokstav b). Videre stilles det i personopplysningsloven 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Innledende bemerkninger Datatilsynet vil i det følgende gjennomgå hvilke krav som stilles i regelverket, jf. lovkrav, beskrive hvilke funn som ble gjort under det stedlige tilsynet, jf. funn, foreta en vurdering av forholdet opp mot regelverket, jf. Datatilsynets vurdering, og konkludere, jf. konklusjon. 6.2 Melde- og konsesjonsplikt Lovkrav Det følger av personopplysningsloven 33 at det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Videre følger det uttrykkelig av personopplysningsforskriften 7-2 at forsikringstilbydere er underlagt konsesjonsplikt etter personopplysningsloven for behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av forsikringsavtaler. 2 av 11

3 På Datatilsynets nettsider ligger standardkonsesjon for forsikringstilbydere tilgjengelig, Det følger av standardkonsesjonen punkt 6 at: Den behandlingsansvarlige skal hvert tredje år sende Datatilsynet bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler Funn Advokatfirma MNA Kogstad Lunde & Co. DA orienterte i brev av 19. og 24. januar 2012 om navneendring da virksomheten er blitt kjent med at navn hos tilsynet beklageligvis ikke synes å være oppdatert, jf. brev av 19. januar Det vises til at: Konsesjon til å behandle personopplysninger er formodentlig fremdeles registrert under navnet Gabler Rådgivning AS (opprinnelig navn på søknadspliktig var Swiss Reinsurance Norway AS i praksis forkortet til Swiss Re). Oppdatert og således rett navn på den konsesjonspliktige skal være Protector Forsikring ASA. I forbindelse med fusjon er det trolig ikke fanget opp behovet for å underrette Datatilsynet om navneendringen Vi benytter samtidig anledningen til å meddele at behandlingsansvarlig i selskapet har gitt oss instruks om å meddele på vegne av forsikringsselskapet Protector Forsikring ASA at behandlingen av personopplysninger fremdeles skjer i overensstemmelse med søknaden og personopplysningslovens bestemmelser. Selskapet Swiss Re ble gitt konsesjon 20. februar 2002, jf. DT ref. 2001/ ACM/-. Konsesjonen ble gitt for en tidsbegrenset periode frem til 1. januar I brev av 27. mai 2002 ble det søkt om en utvidelse av konsesjonen, med særlig henblikk på elektronisk lagring av personopplysninger. Datatilsynet ga i brev av 19. juni 2002 en utvidelse av konsesjonen. Konsesjonen inneholdt et vilkår om at den behandlingsansvarlige hvert tredje år skulle sende bekreftelse til Datatilsynet på at behandlingen skjer i overensstemmelse med personopplysningsloven. For øvrig henvises det til vilkår i Rammekonsesjon for forsikringsvirksomhet. I brev av 21. oktober 2003 orienterer Trond Høye for Gabler Rådgivning AS om at: Swiss Re Norway AS har skiftet navn til Gabler Rådgivning AS. Gabler Rådgivning AS har ikke videreført forsikringskonsesjonen men fortsetter for øvrig den samme aktiviteten som Swiss Re Norway AS knyttet til rådgivning og administrasjon av et enkelt risikoprodukt 3 av 11

4 Tilsynet orienterer i brev av 14. november 2003 adressert til Gabler Rådgivning AS om at: Datatilsynet velger å ikke overføre konsesjonen til Gabler Rådgivning AS da virksomheten ikke fremstår å ha selvstendig formål med den behandling av personopplysninger som foretas. Brevet beskriver videre at Datatilsynet etter en ny vurdering forstår faktum slik at Gabler Rådgivning AS opptrer på vegne av distributører av forsikringsavtaler ved å gjennomføre den helsevurdering som er nødvendig ved inngåelse av avtaler om livsforsikring. Dette fremstår som en databehandleroppgave, og er således ikke underlagt konsesjonsplikt da konsesjonsplikten rettes mot den behandlingsansvarlige, jf. personopplysningsloven 33 jf. personopplysningsforskriften 7-2. Virksomheten gjøres avslutningsvis oppmerksom på muligheten til å kommentere Datatilsynets vurdering, herunder om virksomheten mener at Gabler Rådgivning AS har et selvstendig behandlingsgrunnlag. Datatilsynet har ikke mottatt kommentarer fra virksomheten på denne vurderingen. I brev av 20. februar 2012 fra Kogstad Lunde & Co anføres det at ingen i Protector har vært kjent med brevet eller innholdet i brevet frem til den 14. februar Det følger videre at: Protector var av den oppfatning at selskapet hadde konsesjon fra Datatilsynet og har i de påfølgende årene tilstrebet å etterleve tilsynets ulike krav. Gjennomføringen av kjøp av 100 % av aksjene i Gabler Liv var betinget av endelig godkjenning fra Finanstilsynet. Avtalen om kjøp ble inngått i oktober Ettersom det tok tid å få gjennomført avtalen sendte Protector melding iht. personopplysningsloven 31 til Datatilsynet medio november Protector beklager sterkt manglende rapportering til tilsynet om de ulike endringene i virksomheten. Virksomheten har imidlertid hele tiden forholdt seg til at den har hatt konsesjon fra Datatilsynet, og det er etablert rutiner for å overholde det til enhver tid gjeldende regelverk. Søknad om konsesjon for behandling av personopplysninger for gjennomføring av forsikringstjenester fra Protector ble journalført 23. februar Datatilsynets vurdering Datatilsynet noterer selskapets anførsel om at Protector var av den oppfatning at selskapet hadde konsesjon. Dokumentasjonen i saken tilsier imidlertid entydig at konsesjon til å behandle personopplysninger ble trukket tilbake 14. november Selskapets anførsel om at ingen i virksomheten har kjent til dette brevet noteres imidlertid. Det bemerkes dog at virksomheten heller ikke har senere sendt inn bekreftelse i tråd med krav oppstilt i tidligere gjeldende konsesjon. Videre tyder øvrige funn på at manglende konsesjon har hatt innvirkning på virksomhetens behandling av personopplysninger, jf. punkt Melding med referansenummer ble registrert 18. november Meldingen utløp 18. november av 11

5 Det bemerkes at den behandlingsansvarlige plikter å sørge for at krav oppstilt i personopplysningsloven med forskrift overholdes. Kravet om konsesjon er en grunnleggende forpliktelse for den behandlingsansvarlige, spesielt i tilfeller hvor kravet om konsesjon er regulert særskilt Konklusjon Manglende konsesjon anses som et brudd på personopplysningsloven 33 jf. personopplysningsforskriften Internkontroll rutiner Lovkrav Etter personopplysningsloven 14 skal den behandlingsansvarlige etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjenglig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjenglig for Datatilsynet og Personvernnemnda. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjenglig for de den måtte angå. Personopplysningsforskriften kapittel 3 utleder systematiske tiltak som skal sikre at internkontroll er i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Det følger av personopplysningsforskriften 3-1 at den behandlingsansvarlige skal ha rutiner for oppfyllelse av sine plikter og registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningsloven 8, 9 og 11, b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven 31 til av 11

6 6.3.2 Funn I varsel om kontroll ba Datatilsynet om å få oversendt dokumentasjon knyttet til nærmere angitte punkter. Tilsynet fikk oversendt etterspurt dokumentasjon 26. januar En ny versjon av internkontrollen ble presentert under den stedlige kontrollen. Tilsynet ba blant annet om de siste ti avvikene som var registrert i virksomheten. I brev av 26. januar 2012 punkt g) står det at Protector har ikke registrert avvik. Etter det Datatilsynet kjenner til forelå heller ingen rutiner for innhenting og kontroll av samtykke, vurdering av formål med behandlingen av personopplysninger samt vurdering av personopplysningenes kvalitet. Enn videre forelå det ikke rutiner for melde- og konsesjonsplikt, og sletting etter personopplysningsloven 28. I forkant av tilsynet mottok Datatilsynet en henvendelse knyttet til bruk av fullmaktskjema hos Protector. Det ble vist til at selskapet benyttet skjemaet Fullmakt, som ble fremlagt av Protector under stedlig tilsyn. Skjemaet inneholder følgende erklæring: Undertegnede har meldt personskade etter ulykke til Protector Forsikring ASA. For å kunne behandle saken videre er det nødvendig for Protector å innhente nærmere medisinske opplysninger vedrørende helsetilstanden samt opplysninger knyttet til de økonomiske forhold de siste 10 år. Formålet med å innhente opplysningene er å danne grunnlag for Protectors vurderinger av de helsemessige og økonomiske konsekvensene som følge av ulykken. Fullmakten gir Protector Forsikring ASA adgang til å innhente opplysninger/dokumenter fra leger, sykehus, behandlere, trygdekontor og likningskontor. Opplysningene kan innhentes fra følgende instanser (vennligst fyll ut) Fullmakten fulgte brev adressert til lege, hvor det står at: Ovennevnte har fremsatt krav mot Protector Forsikring ASA om erstatning. I den anledning ber vi om å få tilsendt kopi av journalen. Ved oversendelse ber vi Dem vennligst henvise til vårt skadenummer. Formålet med opplysningene er å få et best mulig grunnlag for å vurdere omfanget av de helsemessige konsekvensene som skaden har medført, herunder behovet for å innhente en vurdering av den medisinske invaliditeten. Datatilsynet ba under kontrollen om å få se nærmere på fem tilfeldige saker hvor det hadde blitt innhentet helseopplysninger. I samtlige saker var dette fullmaktsskjema blitt brukt, og sakene inneholdt følgelig hele eller store deler av pasientjournaler. 6 av 11

7 6.3.3 Datatilsynets vurdering Tilsynet påpeker viktigheten av at det ikke innhentes flere opplysninger enn det som er nødvendig, jf. personopplysningsloven 11 jf. 9 og 8. Videre fremheves kravene til et gyldig samtykke, jf. personopplysningsloven 2 nr. 7, hvoretter et samtykke skal være frivillig, uttrykkelig og informert. Det vises i forlengelsen av dette til merknader til standardkonsesjon for forsikringsvirksomhet hvor det fremgår at: Mulige informasjonskilder må oppgis samtidig med avgivelse av samtykke. Når kilden skal benyttes, må forsikringsselskapet overfor den registrerte, særskilt angi ønsket informasjonskilde (for eksempel navngitt lege og navngitt behandlingsinstitusjon) og hvilke forhold det ønskes mer informasjon om. Slik spesifisering er svært viktig, slik at fullmakten kan utformes i samsvar med reglene for opphevelse av taushetsplikt og samtykket kan sies å være informert. Innhenting av informasjon fra kilder som ikke er oppgitt av den registrerte, krever selvstendig samtykke. Etter at Datatilsynet varslet kontroll har Protector gjennomgått hvordan virksomheten behandler personopplysninger. Virksomheten har gått gjennom etablerte rutiner, og har samlet dokumenter som tidligere har vært spredt. Det ble også avdekket at selskapet manglet enkelte rutiner. Manglende rutiner har imidlertid blitt utarbeidet og delvis utbedret i forkant av det stedlige tilsynet. Dette gjelder også bruk av fullmaktskjema hvor det nå differensieres mellom basisfullmakt, utvidet fullmakt I og utvidet fullmakt II. Fullmaktene bygger ikke på standardmal fra FNO (tidligere FNH). Datatilsynet ser at kontrollen har vært en katalysator for gjennomgang og revisjon av internkontroll i virksomheten. Virksomheten har identifisert mangler i eksisterende internkontroll og supplert denne. Ved at virksomheten ikke tidligere har hatt avviksrapportering kan det være særlig vanskelig å kunne identifisere problemområder og iverksette tilstrekkelige tiltak for å rette på forholdet. Manglende rapportering av avvik gjør det også svært vanskelig for tilsynet å avdekke om virksomheten jobber systematisk med tiltak for å forbedre behandlingen Konklusjon Manglende avviksrapportering er en indikator på at avvikshåndteringen er mangelfull. Datatilsynet nøyer seg med å påpeke viktigheten av et effektivt rapporteringssystem, jf. personopplysningsloven 14. Tilsynet påpeker videre viktigheten av at det ikke innhentes flere opplysninger enn det som er nødvendig, jf. personopplysningsloven 11 jf. 9 og 8 samt krav til gyldig samtykke, jf. personopplysningsloven 2 nr. 7. Det vises for øvrig til merknader til standardkonsesjon for forsikringsvirksomhet. 6.4 Internkontroll oversikt over behandlinger og behandlingsgrunnlag Lovkrav Personopplysningsforskriften 3-1 fastsetter at den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å 7 av 11

8 etterleve krav gitt i eller i medhold av personopplysningsloven. Det legges særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. For å kunne etablere internkontroll må virksomheten identifisere hvilke personopplysninger som virksomheten trenger å behandle Funn I varsel om kontroll av 17. januar 2012 etterspurte Datatilsynet en rekke dokumenter, herunder styrende dokumenter for internkontroll og gjennomførende rutiner i internkontrollen. Det ble blant annet bedt om en oversikt over virksomhetens behandlinger av personopplysninger og beskrivelse av det rettslige grunnlaget for virksomhetens behandlinger av personopplysninger, jf. b). Tilsynet fikk oversendt en versjon sammen med etterspurt dokumentasjon 26. januar En ny versjon ble presentert under den stedlige kontrollen. Oversendt dokumentasjon inneholdt flere mangler, som i stor grad er utbedret i ny versjon. Datatilsynet vil i det følgende ta utgangspunkt i den siste versjonen. I dokumentet Styringsdokument internkontroll personopplysninger punkt 2 er det listet opp hvilke personopplysninger som behandles: - Opplysninger om personlige forhold, herunder personnummer og lignende - Straffbare forhold (f eks i sviksaker) - Helseopplysninger - Arbeidstageres forhold, herunder tilknytning til fagforeninger og lignende I punkt 3 vises det til at virksomheten er avhengig av å innhente og behandle personopplysninger for å kunne oppfylle sine forpliktelser for å kunne selge og behandle forsikringssaker. Det presiseres at dette gjør seg spesielt gjeldende ved tegning av personforsikringer og ved skadeoppgjør Datatilsynet vurdering Personopplysningsforskriften 3-1 forutsetter at virksomheten har en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Det kreves videre en oversikt over hvilket behandlingsgrunnlag som ligger til grunn for den enkelte behandling. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten skal også danne grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Dokumentasjonen til virksomheten inneholder kun en grov oversikt over noen opplysningstyper. I tillegg mangler en oversikt over behandlingsgrunnlag, jf. personopplysningsloven 9 jf av 11

9 6.4.4 Konklusjon Den manglende oversikten anses som et brudd på personopplysningsforskriften Forholdsmessig sikring av personopplysninger Lovkrav Det følger av personopplysningsloven 13 at den behandlingsansvarlige gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Utfyllende bestemmelser finnes i kapittel 2 i personopplysningsforskriften. Personopplysningsforskriftens 2-1 stiller krav om forholdsmessighet ved tiltakene skal stå i forhold til sannsynlighet og konsekvens av sikkerhetsbrudd. Personopplysningsforskriftens 2-11 stiller krav om konfidensialitetssikring hvor nødvendig, og 2-14 stiller krav om at sikkerhetstiltak etableres. Etter forskriftens 2-14, 3. ledd skal sikkerhetstiltak omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre Funn Virksomheten har valgt å legge alle ansatte i samme Active Directory. Virksomheten lagrer sensitive personopplysninger i mapper hvor det er satt begrensinger i hvilke ansatte som har tilgang. De ansatte som har tilgang til mappen har tilgang til alle saker. For etablering og endringer av tilgang, må avdelingslederne fylle ut et skjema som oversendes til databehandler for effektuering. Denne oversendelsen gjøres kun av en person i selskapet. Under kontrollen instruerte tilsynet en av de ansatte, som har tilgang til sensitive personopplysninger, til å merke et dokument med sensitive personopplysninger og høyreklikke. Et av valgene som da kommer opp er Send til. Ved å fullføre e-posten med mottakeradresse ville den ansatte kunne sende e-posten direkte. Det er ikke innført sikkerhetstiltak for sensitive personopplysninger som i vesentlig grad begrenser faren for uautorisert lesing, uautorisert eller uaktsom utlevering, eller utlevering ved datainnbrudd Datatilsynets vurdering Datatilsynet har gjennom forvaltningspraksis stadfestet at sensitive personopplysninger skal beskyttes med to uavhengige tekniske sikkerhetstiltak 2. Løsningen som virksomheten har valgt for sin lagring av sensitive personopplysninger er lagt på det tilsynet anser som et alminnelig sikkerhetsnivå hvor det er lagt til rette for ekstern kommunikasjon. Alminnelige tiltak for å etablere ytterligere sikkerhet er sonedeling av informasjonssystemet (bruk av sikre soner) eller at det knyttes overvåking til særskilt beskyttelsesverdige opplysninger (som innholdsmarkering) 2 Det vises som eksempel også til tilsvarende vurderinger nedfelt i Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren 9 av 11

10 Datatilsynet har ikke vurdert om det burde vært innført ytterligere tilgangsstyring for hvilke opplysninger de ansatte gis tilgang til, for eksempel gjennom bruk av et fagsystem hvor tilgangen kan begrenses til de som arbeider med en konket sak Konklusjon Datatilsynet anser manglende konfidensialitetssikring av sensitive personopplysninger for å være et brudd på personopplysningsloven 13, jf personopplysningsforskriften 2-1, 2-11 og Kommunikasjon Lovkrav Krav til informasjonssikkerhet fremgår av personopplysningsloven 13 jf. personopplysningsforskriften kapittel 2, jf. punkt Det følger av personopplysningsforskriften 10-2 at: Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. Av dette følger at det er behov for konfidensialitetsbeskyttelse, og kravet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 kommer til anvendelse Funn Datatilsynet så i forkant av tilsynet på Protectors nettsider, blant annet på fanen Hvordan melde en skade. Man fikk da informasjon om at: Du kan melde skade per e-post eller telefon En skademelding må inneholde: Forsikringstagers navn og polisenummer Forsikredes navn og personnummer Detaljert beskrivelse av skadens tidsforløp, tilstand og omfang E-postadressene skade_barn@protectorforsikring.no og skade_liv@protectorforsikring.no ble oppgitt. Disse ble rutet videre til en annen adresse da virksomheten ikke tilbyr livsforsikring og heller ikke tilbyr barneforsikring gjennom nettsidene. Nettsiden inneholdt også et kontaktskjema med åpne tekstfelt, deriblant feltet Beskriv skade:. 10 av 11

11 6.6.3 Datatilsynets vurdering Det følger av krav oppstilt i personopplysningsforskriften 2-11 og 10-2 at fødselsnummer ikke skal sendes elektronisk, med mindre kommunikasjonen er kryptert. En oppfordring til å sende slike opplysninger over en ukryptert Internettløsning vil derfor at innebære at virksomheten legger til rette for en praksis i konflikt med kravene i personopplysningsforskriftens 2-11 og Det bemerkes også at det er uheldig at man oppfordres til å beskrive skaden i et åpent merknadsfelt, uten at det presiseres at sensitive personopplysninger ikke bør kommuniseres på denne måten Konklusjon At det legges til rette for usikker kommunikasjon av fødselsnummer inn til virksomheten er et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens Det bemerkes at virksomheten i etterkant har tatt bort de omtalte e-postadressene fra nettsiden, samt fjernet informasjon om hva skademeldingen må inneholde, herunder krav til personnummer. 11 av 11