Compliance af personfølsomme oplysninger – Hvad og hvordan?

DatasikkerhedPrivacy
By 26. januar 2021januar 29th, 2021No Comments

Hvad er personfølsomme oplysninger egentlig, og hvornår må vi behandle dem? I takt med en stigende opmærksomhed på databeskyttelse og opretholdelse af privatlivet online, er det nødvendigt at være opmærksom på, hvordan man som virksomhed bliver compliant i forhold til de personoplysninger, man indsamler.

Hvad er personoplysninger?

Kort sagt er personoplysninger en type af informationer, der kan være med til at identificere en person. Man opdeler personoplysninger i to kategorier: almindelige personoplysninger og følsomme personoplysninger/personfølsomme oplysninger.

De to kategorier kan minde om hinanden og være svære at adskille. Men set fra et juridisk synspunkt er de helt forskellige.

Almindelige personoplysninger

Hvad er det?

Her er der tale om alle de personoplysninger, der ikke har fået status som ‘følsomme personoplysninger’.  
Hvad er almindelige personoplysninger

Personfølsomme oplysninger

Hvad er det?

Personfølsomme oplysninger eller følsomme personoplysninger – som det lovmæssigt hedder – er den type oplysninger der er særligt fokus på i GDPR lovgivningen. Det betyder, at virksomheder og myndigheder skal overholde endnu skrappere krav, hvis de indsamler og har adgang til denne type oplysninger om deres kunder, ansatte, borgere og så videre.
Hvad er følsomme personoplysninger

Der er altså mange instanser, der ligger inde med personfølsomme oplysninger om dig:

 • Din læge ved eksempelvis hvilke sygdomme, du er blevet behandlet for. Og den information vil efter alt at dømme ligge i lægens database.
 • Hvis du har oplyst en virksomhed om din etnicitet eller seksuelle overbevisning, vil den virksomhed nu ligge inde med personfølsomme oplysninger om dig.
 • Hvis du er medlem af en fagforening, vil den ligge ind med personfølsomme oplysninger om dig.

Typer af personfølsomme oplysninger

Dykker vi et skridt længere ned, kan man inddele følsomme personoplysninger endnu yderligere. Dette har vi valgt at illustrere ved hjælp af datamanden nedenfor.

Typer af personfølsomme oplysninger

Datamanden består af de typer af følsomme personoplysninger, der findes. Her har vi inddelt personoplysningerne i yderligere 5 kategorier:

Interne data

Interne oplysninger er det, der umiddelbart ikke kan ses udefra. Det er altså oplysninger som holdninger, trosretninger og viden.

Eksterne data

Denne type oplysninger er de oplysninger, man nemmere kan se udefra. Altså kunne det eksempelvis være oplysninger om etnicitet, alder og sundhed.

Historiske data

Som overskriften indikerer, er der her tale om oplysninger, som omhandler personens historie og fortid.

Finansielle data

Dette punkt omhandler de informationer der er tilgængelige om dine finansielle oplysninger. Det kan være både bankoplysninger, kreditinformationer eller lignende.

Sociale data

Sociale data er data, som kan sættes i relation til andre mennesker. Det kan være i communities, familie og venskaber.

Hvornår må jeg behandle personoplysninger?

Generelt er det først og fremmest vigtigt, at der er en årsag til, hvorfor man skal have adgang til personoplysninger.

Herudover skal man som tommelfingerregel også altid sørge for at få samtykke fra den person, hvis oplysninger det omhandler. Her er det godt at anvende en skabelon, for hvordan og hvorfor man indsamler disse data.

Behandling af almindelige personoplysninger

Ifølge Datatilsynet er der 5 punkter, hvor personoplysninger kan behandles uden samtykke:

 1. En kontrakt med den registrerede
 2. Den dataansvarliges retlige forpligtelser
 3. Den registreredes eller en anden fysisk persons vitale interesser
 4. En opgave i samfundets interesse eller offentlig myndighedsudøvelse
 5. En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder

Behandling af personfølsomme oplysninger

Beskæftiger man sig med følsomme personoplysninger, skal man være ekstra opmærksom på håndteringen af dem. Som udgangspunkt er der nemlig forbud mod at behandle denne type oplysninger.

Men ingen regler uden undtagelser. Ved følgende 7 punkter, må man undtagelsesvis behandle, hvis det er nødvendigt af hensyn til:

 1. Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder
 2. Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
 3. En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger (Omfatter ikke videregivelse uden for organisationen)
 4. Et retskravs fastlæggelse eller behandling.
 5. Væsentlige samfundsinteresser
 6. Behandling af sundhedsfaglig karakter inden for sundhedssektoren
 7. Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål

Det er altså med andre ord en gang imellem nødvendigt at behandle personoplysninger. Derfor er det er også meget vigtigt, at man gør det på en sikker og fortrolig måde. Et eksempel kunne være, at man har et system, som sikrer, man har en sikker mail. Et andet eksempel kunne være at have en VPN-forbindelse. Og ved at være transparent sender man desuden et stærkt signal om, at man håndterer sine kunders og ansattes persondata sikkert.

Dét skaber tillid til en virksomhed!

Er du i tvivl om, hvordan I kan behandle personfølsomme oplysninger? Det er der ikke noget at sige til. Det er et forholdsvis nyt område, hvor best-practices stadig er ved at blive formet.