Användning av personnummer för behörighetskontroll och som användaridentitet

Kommuner och landsting

Fråga

Vilken är Datainspektionens inställning till användning av personnummer som identifikationsbegrepp för anställd personal som ska logga in i kommunens datornätverk? Om det inte är motiverat, vilken är då Datainspektionens uppfattning vad gäller att registrera personnummer på anställd personal i ett dolt fält i kommunens inloggningstjänst Active Directory (AD)?

Svar

Svaret utgår från att ni har personnummer i HR-systemet i syfte att uppnå en säker identifiering för personaladministrativa ändamål. Datainspektionen inser att det kan innebära en betydande förenkling om man inom en kommun, med dess olika verksamheter, även kan hantera personnummer för ändamål som rör behörighetsstyrning, det vill säga såväl i AD som vid inloggning, inaktivering och borttagning. Datainspektionen anser att en sådan betydande förenkling är att bedöma som ett sådant beaktansvärt skäl som avses i den särskilda bestämmelsen om personnummer i 22 § personuppgiftslagen. Vid sådana förhållanden behöver ni således inte inhämta de anställdas samtycke till denna hantering av personnummer. Givetvis behöver ni rutiner för att informera de anställda om behandling av deras personnummer.

Det är särskilt viktigt att minimera åtkomsten till AD gällande personuppgifter om anställda som har skyddade personuppgifter eller av andra skäl behöver vara varsamma med upplysningar om kontaktuppgifter eller var de vistas (i sådana fall kan det också uppstå behov av alternativ till personnummer). Det är därför en god idé att genom ett dolt fält i AD minimera tillgången till personuppgifter för anställda som har åtkomst till AD. Dessutom behöver ni rutiner för behörighetsstyrningen till personuppgifter i AD, så att de som administrerar personuppgifter i AD enbart har tillgång till de uppgifter som de behöver för att kunna utföra sitt arbete.

Observera att det inte innebär en ökad IT-säkerhet att använda personnummer som användarnamn. Det krävs alltid goda rutiner och tydliga instruktioner till de anställda när det gäller hantering av lösenord. Notera också att inloggning över öppet nät till integritetskänsliga personuppgifter kräver säker autentisering i form av till exempel e-legitimation.

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.