Full strid om bruk av fødselsnummer i nettbankene

Full strid om bruk av fødselsnummer i nettbankene

Datatilsynet ber bankene dokumentere behovet for å bruke fødselsnummer i nettbankene. Praksisen kan være lovstridig.

Hvis ikke bankenes begrunnelse ikke er god nok, må alle nettbanker gjennom en ny og kostbar omlegging.

I et brev fra Datatilsynet til Sparebankforeningen krever tilsynet at bankene redegjør for bruken av fødselsnummer i rutinene for innlogging til nettbankene.

De aller fleste bankene i Norge har gått over til denne ordningen de siste årene. Men mange kunder er skeptiske. I forbindelse med omleggingen av nettbanken i DnB NOR, har overgangen til bruk av fødselsnummer fått delvis kaotiske konsekvenser, som Computerworld.no skrev om for en uke siden.

Banken har siden beklaget forvirringen mange kunder har opplevd.

- Neppe lovlig
Datatilsynet betviler at bankene har tilstrekkelig dekning i loven til å kreve fødselsnummer ved innlogging til nettbank.

"Personopplysningsloven § 12 regulerer bruk av fødselsnummer. Bestemmelsen stiller som vilkår at det må foreligge et saklig behov for sikker identifisering av enkeltpersoner, og at bruken av fødselsnummeret må være nødvendig for å oppnå dette formålet" skriver Datatilsynet i sitt brev.

- Denne paragrafen er utrolig streng. Hvis det finnes et alternativ til fødselsnummer, skal dette brukes i stedet, sier Katrine Berg, seniorrådgiver i Datatilsynet.

"Spørsmålet blir følgelig om den etablerte praksis med bruk av fødselsnummer i forbindelse med innlogging på nettbank har blitt vurdert i forhold til nødvendighetsvilkåret i § 12" skriver tilsynet i brevet.

Store konsekvenser

Dersom det viser seg at bankene ikke har tilstrekkelig hjemmel i loven til å begrunne praksisen med personnummer, vil det føre til en kostbar og omfattende omlegging av bankenes it-infrastruktur.

- Det er vanskelig å gi noe eksakt svar på hva dette vil koste. Men det dreier seg utvilsomt om stor kompleksitet og en god del tilpasninger, sier Geir Remman, konserndirektør for kommunikasjon i EDB Business Partner, en av storleverandørene av it-systemer til bankene.

Også konsulentselskapet Accenture tro dette blir dyrt.

- Det vil koste mye. Ifølge våre bank-eksperter må hele nøkkel-infrastrukturen bygges om, og det vil bli kostbart å innføre en ny identifikator. Når det er sagt, er det vanskelig å forstå rasjonalet i dette. Bankene er jo flinke med sikkerheten og er ikke slepphendte med personnumrene, sier Eirik Andersen, kommunikasjondirektør i Accenture.

Andre løsninger

Men Datatilsynet mener at det tidligere vært tilstrekkelig å oppgi kontonummer, brukernavn og passord for å få tilgang til de samme nettbanktjenestene.

"Bankenes tidligere praksis indikerer altså at man har kunnet oppnå tilfredsstillende identifisering ved hjelp av andre parametre enn fødselsnummer."

- Hvorfor er dette så strengt?

- Dette er ment å regulere bruken av personnummer, som er noe annet enn at banken trenger fødselsnummeret for å identifisere deg som kunde i banken. Bankene må argumentere for nødvendigheten av å bruke fødselsnummer. Hvis ikke bankene kan redegjøre for hvorfor personnumer er nødvendig, må vi be dem om å endre rutinene, sier Katrine Berg.

Dersom Datatilsynet ikke er fornøyd med bankenes redegjørelse, vil tilsynet komme med et pålegg om at rutinene endres. Pålegget kan klages inn for Personvernnemnda.

Berg presiserer at henvendelsen går til hele banknæringen. Derfor må også banker som ikke er medlem av Sparebankforeningen rette seg etter konklusjonen i saken.

- Ukjent med egne vedtak

Dnb NOR står midt oppe i en omleggingen til nettbank med personnummer-innlogging. Informasjonsansvarlig for it-området i Dnb Nor, Anders Bigseth, er forundret over brevet fra Datatilsynet.

- Datatilsynet godkjente at banker kan bruke fødselsnummer til innlogging på nettbank allerede i 1995. De har senere bekreftet flere ganger at banker kan bruke fødselsnummer som identifikator. Det er litt underlig at Datatilsynet ikke kjenner sin egen praksis, sier Bigseth.

Sparebankforeningen ville ikke kommentere brevet fra Datatilsynet før en intern evaluering er gjennomført, opplyser avdelingsdirektør Olav Breck.