Sensitive personopplysninger | Helse, miljø og sikkerhet - Ansatt

Særlige kategorier (sensitive personopplysninger)

Særlige kategorier (sensitive personopplysninger)

Hva som er særlige kategorier defineres i EUs personvernforordning (GDPR). Her får du vite hvilke disse er, at også andre typer personopplysninger kan være sensitive i gitte situasjoner eller når de er knyttet til sårbare grupper, samt hvilke konsekvenser det har å behandle sensitive personopplysninger.
Publisert
Sist oppdatert

  • Særlige kategorier

    Særlige kategorier er opplysninger om:

    • rasemessig eller etnisk bakgrunn
    • politisk, filosofisk eller religiøse oppfatninger
    • helseforhold
    • seksuelle forhold eller orientering
    • medlemskap i fagforeninger
    • genetiske og biometriske opplysninger med det formål å identifisere en fysisk person

    Særlige kategorier defineres i EUs personvernforordning (GDPR) artikkel 9 nr. 1 (lovdata.no).

    Behandling av særlige kategorier er i utgangspunktet forbudt, men kan behandles dersom et av vilkårene i artikkel 9 nr. 2 er oppfylt.

  • Særskilte krav knyttet til behandling av "særlige kategorier"

    Rådføringsplikt

    Det foreligger en rådføringsplikt med personvernombudet ved institusjonen eller Personverntjenester (Sikt) før behandling av personopplysninger kan starte, jf. personopplysningsloven §§ 9 og 10, dersom du skal behandle "særlige kategorier" i forbindelse med forskning eller uten samtykke i forbindelse med arkivering og statistikk. Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle "særlige kategorier" dersom det er nødvendig av hensyn til viktige allmenne interesser, jf. personopplysningsloven § 7.

    Personvernkonsekvensvurdering

    I enkelte tilfeller skal det også gjøres en personvernkonsekvensvurdering (DPIA) i henhold til GDPR artikkel 35. Se også datatilsynets nettside Personvernkonsekvensvurdering - DPIA (datatilsynet.no).

  • Andre personopplysninger som kan være sensitive

    Personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikringstiltak

    Det gjelder også begrensninger ved behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikringstiltak i artikkel 10. Disse opplysningene skal bare behandles under offentlige myndigheters kontroll eller når behandlingen er hjemlet i lov. Tillatelse og rådføringsplikt til personvernombudet, eller tilsvarende, er regulert i personopplysningsloven § 11 (lovdata.no) og personopplysningsloven § 8 (lovdata.no).

    Personopplysninger knyttet til sårbare grupper eller personer i sårbare situasjoner

    Også andre personopplysninger kan anses som sensitive, både fordi de er knyttet til sårbare grupper (eksempler er pasienter, barn, eldre med demens eller kognitiv svikt osv.) eller opplysningene omhandler personer i en sårbar situasjon (eksempler er personer mistenkt for fusk, uredelighet, er i en konfliktsak o.l.). Det kan også være andre grunner som gjør at opplysningene bør klassifiseres som "beskyttelsesverdige" (eksempler er fødselsnummer, hemmelig adresse og passord).

  • Ekstra sikkerhet ved behandling av "særlige kategorier" og personopplysninger som anses som sensitive av andre grunner

    Personopplysninger som etter GDPR er definert som "særlige kategorier" (art. 9) og personopplysninger om straffedommer og lovovertredelser (art. 10), har normalt høy grad av sensitivitet og skal behandles etter strenge regler.

    Det kan være nyttig å se på Normen sin veileder for små helsevirksomheter (ehelse.no).

    Klassifisering vil være styrende for hvordan opplysningene kan behandles og hvilke tekniske løsninger som kan benyttes; dette i kombinasjon med grad av personidentifisering (antall personidentifiserende opplysninger som ligger i datamaterialet). Se nettside om klassifisering og Lagringsguide.

    Det følger av sikkerhetsinstruks 2.9 at sensitive personopplysninger skal ikke sendes ukryptert med e-post. Vurder alternativer. Se om bruk av e-post ved OsloMet.

  • Spesielt om fødselsnummer (11 siffer)

    Fødselsnummer faller ikke inn under særlige kategorier i GDPR, men er en spesiell personopplysning som skal behandles med særlig varsomhet (jf. personopplysningsloven § 12). Se Datatilsynets nettside om fødselsnummer (datatilsynet.no). Det er opprettet av det offentlige som en unik nøkkel for å skille enkeltpersoner fra hverandre. Det brukes blant annet til å koble opplysninger om enkeltpersoner. Det fungerer også ofte som et slags "passord" ved henvendelser til offentlige instanser, for å få tilgang til tjenester eller flere personopplysninger. Dette gjør at fødselsnummeret kan utnyttes blant annet i forbindelse med id-tyveri.

    Fødselsnumre skal ikke registreres hvis det ikke er helt nødvendig og skal ikke sendes med e-post uten kryptering eller deles på internett.