Kort svar
Ved legitimasjonskontroll bør virksomheten vite hvorfor identitet må bekreftes, hvilke opplysninger som faktisk trengs og hva som ikke bør kopieres eller beholdes.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvorfor identitetskontrollen er nødvendig, hvilke deler av legitimasjonen som faktisk trengs og hvordan lagring og tilgang håndteres hvis kopi tas.
Når dette blir aktuelt
- når virksomheten må identifisere kunder, brukere eller ansatte
- når kopier av legitimasjon brukes som enkel standardløsning
- når sikkerhetsbehov og personvern trekker i ulike retninger
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvorfor identitetskontrollen er nødvendig | avgjør hvilke opplysninger det er legitimt å se eller lagre |
| Hvilke deler av legitimasjonen som faktisk trengs | er viktig for å unngå overinnsamling |
| Hvordan lagring og tilgang håndteres hvis kopi tas | reduserer risikoen for misbruk av svært sensitive dokumenter |
Slik bør dere gå fram
- Definer hvilke situasjoner som faktisk krever identitetskontroll og hva den skal sikre.
- Vurder om det holder å se legitimasjonen uten å lagre kopi.
- Hvis kopi eller registrering er nødvendig, begrens hvilke opplysninger som tas og hvem som får tilgang.
- Lag en kort rutine for sletting og tilgangskontroll rundt slike dokumenter.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- beskrivelse av prosessen som krever legitimasjonskontroll
- rutine for hva som kontrolleres og eventuelt lagres
- tilgangsstyring og slettefrist for eventuelle kopier
- intern vurdering av hvorfor mindre inngripende løsninger ikke er nok
Typiske feil
- virksomheten tar kopi av hele legitimasjonen av bekvemmelighet
- ingen vet hvor kopiene lagres eller hvem som har tilgang
- identitetskontroll brukes i flere prosesser uten felles standard
Når bør dere få konkret hjelp?
Når legitimasjonsopplysninger håndteres av mange ansatte eller i flere systemer, bør praksisen kvalitetssikres før mengden data øker.
Relaterte guider
- Kundeopplysninger i CRM: hva må bedriften ha kontroll på?
- Logging og kontroll i IT-systemer: hva må avklares?
- Kundedata i AI-verktøy: hva må bedriften avklare?