Det korte svar: PII står for “personligt identificerbare oplysninger”. Det dækker over data, der direkte eller indirekte kan identificere en person – fx navn, CPR-nummer eller IP-adresse. At kende forskel på PII og andre typer data er afgørende, fordi PII er omfattet af særlige krav i både GDPR og internationale datalove. Hvis du arbejder med persondata, skal du vide, hvad der tæller som PII – og hvordan det skal beskyttes.
Hvad er PII?
PII, eller personhenførbare data, er en type af følsomme data, der kan bruges til at identificere en person. Dette omfatter oplysninger såsom en persons navn, adresse, fødselsdato, CPR-nummer, kørekortnummer eller enhver anden unik identifikator, der kan bruges til at skelne en person fra en anden. PII betragtes som følsomme oplysninger og skal beskyttes og håndteres med omhu.
GDPR-overtrædelser kan give en bøde på op til 20 millioner euro eller 4% af virksomhedens globale årlige omsætning - alt efter hvad der er højest.
- Europa-Kommisionen
Hvad bruges PII til?
Personhenførbare data bruges til en række forskellige formål, såsom:
- Identitetsbekræftelse: bruges ofte til at bekræfte en persons identitet, såsom når du åbner en bankkonto eller ansøger om et lån eller er til lægen.
- Kundeservice: bruges til at levere personlig kundeservice, såsom når en person ringer til en virksomheds kundeservicelinje.
- Markedsføring: kan bruges til at målrette specifikke demografiske forhold med marketingkampagner eller til at gennemføre undersøgelser for at indsamle oplysninger om kundernes præferencer.
- Svindelregistrering: kan bruges til at opdage og forhindre svig, såsom når en finansiel institution bruger PII til at markere mistænkelig kontoaktivitet.
- Forskning: kan bruges til at udføre forskning på enkeltpersoner eller specifikke demografiske grupper.
Det er vigtigt at bemærke, at organisationer skal indhente samtykke fra enkeltpersoner, før de bruger deres personhenførbare data til disse formål.
Love og regler for personhenførbare data
PII er beskyttet af en række databeskyttelseslove verden over. I EU og Storbritannien gælder GDPR, som stiller strenge krav til, hvordan PII skal indsamles, behandles og opbevares. I USA findes der ikke én samlet føderal lov, men branchespecifikke regler som HIPAA og CCPA gælder i visse sektorer. Uanset hvilket land du opererer i, kan forkert håndtering af PII få alvorlige juridiske, økonomiske og omdømmemæssige konsekvenser – derfor er overholdelse afgørende for alle, der arbejder med persondata.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan beskyttes PII
For at beskytte personhenførbare data skal organisationer implementere robuste sikkerhedsforanstaltninger. Disse kan omfatte kryptering, firewalls, systemer til registrering af indtrængen og regelmæssige sikkerhedsrevisioner. Organisationer skal også have politikker og procedurer på plads til håndtering af PII, såsom retningslinjer for adgangskontrol, dataopbevaring og datadestruktion. Derudover skal der indhentes klart, frivilligt og informeret samtykke fra de registrerede, før deres PII indsamles og behandles – især når det gælder følsomme oplysninger. Samtykket skal dokumenteres og kunne trækkes tilbage til enhver tid.
FAQ om PII
Er PII det samme som personoplysninger i GDPR?
Begreberne minder meget om hinanden, men kommer fra forskellige verdener. PII – altså personally identifiable information – bruges især i amerikansk og international kontekst, mens “personoplysninger” er den term, GDPR anvender. I praksis dækker de begge over data, der kan identificere en person, men GDPR har en bredere og mere nuanceret tilgang. Så selvom du støder på PII, skal du altid tænke GDPR, hvis din virksomhed opererer i Europa.
Er det kun store virksomheder, der skal tænke over PII?
Slet ikke. Alle virksomheder, der indsamler, opbevarer eller behandler persondata – uanset størrelse – har et ansvar for at beskytte PII. Det gælder både den lille webshop, der gemmer kunders e-mailadresser, og det internationale softwarehus med følsomme kundedata. PII er ikke kun noget, der vedrører techgiganter og finanssektoren – det er relevant for enhver, der arbejder med mennesker.
Hvordan ved vi, om vi behandler PII?
Det er ikke altid åbenlyst. Mange virksomheder har PII liggende i mails, dokumenter, cloudtjenester og interne systemer uden at tænke over det. Et godt sted at starte er at kortlægge, hvilke oplysninger I indsamler fra kunder, ansatte og samarbejdspartnere – og hvor disse data gemmes. Hvis I vil være helt sikre, kan I bruge et værktøj som DataMapper til automatisk at finde og klassificere PII i jeres systemer.
Hvad er det værste, der kan ske, hvis vi ikke beskytter PII ordentligt?
Konsekvenserne kan være alvorlige. I risikerer både databrud, mistet tillid fra kunder og potentielt store bøder fra myndighederne. Men det handler ikke kun om straf – det handler om ansvar. Når du beskytter folks data, viser du respekt for deres data og bygger et stærkere brand.
En smartere måde at håndtere PII
PII er kritisk information, der skal beskyttes til enhver tid. Hvis I håndterer personhenførbare data, bør I fokusere på, hvordan disse data behandles, hvor de ligger, og hvem der har adgang til dem. Det første og vigtigste skridt er at skabe overblik – uden det er det umuligt at vurdere risikoen eller sikre korrekt beskyttelse.
Hos Safe Online tilbyder vi en GDPR Risikovurdering, der identificerer, hvor PII befinder sig på tværs af jeres systemer, hvilke data der er mest følsomme, og hvordan de er eksponeret. Risikovurdering giver jer det nødvendige overblik og skaber et solidt fundament for at håndtere PII på en forsvarlig og compliant måde. Samtidig giver den klare anbefalinger til, hvordan I bør beskytte og minimere personhenførbare data, så de håndteres sikkert og ansvarligt.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
