19. mars 2026 · 6 min lesetid
Sende personnummer på e-post — hva sier reglene?
Du skal sende et dokument til en klient, en pasient eller en samarbeidspartner. Dokumentet inneholder fødselsnummer. Du legger det ved i e-posten og trykker send. Er det lov?
Svaret er mer nyansert enn de fleste tror — og Datatilsynet har klare anbefalinger.
Hva er et fødselsnummer, juridisk sett?
Et fødselsnummer er et identifikasjonsnummer med elleve siffer. Alle som er folkeregistrert i Norge har et. Datatilsynet presiserer at fødselsnummeret ikke regnes som en særlig kategori av personopplysninger og ikke er taushetsbelagt — men det har klare bruksbegrensninger.
Personopplysningsloven § 12 slår fast at fødselsnummer bare kan brukes når det er saklig behov for sikker identifisering av en person, og fødselsnummeret er nødvendig for å oppnå slik identifisering.
Kilde: datatilsynet.no — Fødselsnummer
Det betyr: Du kan ikke bruke fødselsnummer bare fordi det er praktisk. Det må være nødvendig for å identifisere personen. For mange formål holder navn, adresse og fødselsdato.
Hva sier Datatilsynet om e-post?
Datatilsynet har en egen FAQ-side om akkurat dette spørsmålet. De er tydelige: når fødselsnummer inngår i en forsendelse, skal det ikke være tilgjengelig for andre enn mottakeren.
For e-post spesifikt skriver Datatilsynet at de anbefaler kryptering ved sending av fødselsnummer på usikret e-post, men at virksomheten må gjøre egne vurderinger basert på den konkrete situasjonen slik at tilfredsstillende informasjonssikkerhet oppnås.
Kilde: datatilsynet.no — Kan fødselsnummeret sendes per e-post eller post?
Legg merke til formuleringen: de anbefaler kryptering, men overlater den endelige vurderingen til virksomheten. Det betyr ikke at det er valgfritt — det betyr at du bærer ansvaret hvis noe går galt.
Lønnsslipper med fødselsnummer: må krypteres
Et vanlig tilfelle som berører de fleste arbeidsgivere: lønnsslipper. Datatilsynet uttaler at dersom lønnsslipper med fødselsnummer skal formidles til arbeidstakerne på e-post, må de sendes kryptert for å oppfylle kravene i personopplysningsloven.
Kilde: datatilsynet.no — Kan fødselsnummeret stå på lønnsslippen?
Her er Datatilsynet mer kategoriske enn i den generelle anbefalingen: må sendes kryptert. Ikke anbefaler — må.
Fødselsnummer er ikke legitimasjon
En viktig presisering fra Datatilsynet som mange overser: et fødselsnummer er ikke legitimasjon. At en person oppgir korrekt fødselsnummer, er ingen garanti for at vedkommende faktisk er den de utgir seg for å være. Når en virksomhet skal verifisere identitet, må den bruke andre metoder — som elektronisk ID eller kontroll av gyldige ID-dokumenter.
Kilde: datatilsynet.no — Fødselsnummer
Dette er relevant fordi mange virksomheter sender fødselsnummer som en form for «bevis» på identitet i e-poster. Det fungerer ikke juridisk — og det eksponerer nummeret unødvendig.
Reglene i praksis: hvem sender fødselsnummer på e-post?
Advokater
Sender jevnlig dokumenter med klienters fødselsnummer — til domstoler, motparter, offentlige instanser. Advokatforskriften krever forsvarlig oppbevaring av klientopplysninger. Ukryptert e-post med fødselsnummer er vanskelig å forene med dette kravet.
Regnskapsførere
Sender lønnsdata, skattemeldinger og årsoppgjør med fødselsnummer til kunder, revisorer og myndigheter. Bokføringsloven krever sikker oppbevaring. Overføringen er like viktig som lagringen.
Verger
Sender vedtak, fullmakter og personlige dokumenter på vegne av personer under vergemål. Mange av disse dokumentene inneholder både fødselsnummer og sensitive helseopplysninger.
Helsepersonell
Sender henvisninger, epikriser og prøvesvar. Disse inneholder både fødselsnummer og helseopplysninger — som er «særlige kategorier» under GDPR artikkel 9 og krever ekstra beskyttelse.
NAV-saksbehandlere
Sender vedtak med fødselsnummer til brukere og verger. NAVs egne systemer er sikre, men kommunikasjonen ut til mottaker går ofte via e-post eller Digipost — og Digipost krever at mottaker har BankID.
GDPR artikkel 32: «Passende sikkerhet»
GDPR artikkel 32 krever at den behandlingsansvarlige iverksetter passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Relevante faktorer inkluderer:
- Arten av personopplysningene (fødselsnummer = middels sensitivt; helseopplysninger = høyt sensitivt)
- Konsekvensene av et brudd (identitetstyveri, svindel, personlig ubehag)
- Tilgjengelig teknologi (kryptering er billig og tilgjengelig)
- Kostnad vs. risiko (kryptering koster nær null; konsekvensene av lekkasje kan være store)
Når kryptering er enkelt tilgjengelig og risikoen ved ukryptert sending er reell, er det vanskelig å argumentere for at ukryptert e-post er «passende sikkerhet.»
Hva bør du gjøre i praksis?
Minimum: krypter vedlegget
Passordbeskyttet PDF eller ZIP-fil. Bedre enn ingenting, men passordet må deles på en annen kanal enn e-posten.
Bedre: bruk en sikker delingstjeneste
Ende-til-ende-kryptert dokumentlevering der mottaker henter dokumentet med en engangskode. Ingen fødselsnummer på avveie i e-postkasser som kan hackes, søkes i eller videresendes.
Best: tilpass til mottaker
Ikke alle mottakere har e-post, BankID eller digitale verktøy. En løsning som tilpasser seg mottakers kapasitet — med SMS-verifisering, engangskode eller assistert mottak — dekker hele spekteret.
Sjekkliste for sending av fødselsnummer
| Spørsmål | Handling |
|---|---|
| Er fødselsnummeret nødvendig for formålet? | Hvis nei → bruk fødselsdato + navn i stedet |
| Skal det sendes på e-post? | Krypter alltid vedlegg som inneholder fødselsnummer |
| Har du kontroll på mottakerens e-postkonto? | Hvis nei → bruk en løsning med sporbarhet |
| Kan dokumentet havne hos feil person? | Hvis ja → bruk engangskode eller sikker lenke |
| Inneholder dokumentet også helseopplysninger? | Hvis ja → særlige kategorier, strengere krav |
Oppsummering
Fødselsnummer er ikke taushetsbelagt, men det har klare bruksbegrensninger. Datatilsynet anbefaler kryptering ved sending på e-post og krever det for lønnsslipper. GDPR artikkel 32 krever «passende sikkerhet» — og når kryptering er gratis og enkelt, er ukryptert e-post vanskelig å forsvare.
For profesjonelle som sender fødselsnummer daglig — advokater, regnskapsførere, verger, helsepersonell — er dette ikke et teoretisk problem. Det er en daglig risikovurdering som de fleste tar uten å tenke over det.
Kilder
- Datatilsynet: Fødselsnummer
- Datatilsynet: Kan fødselsnummeret sendes per e-post eller post?
- Datatilsynet: Kan fødselsnummeret stå på lønnsslippen?
- Datatilsynet: Hva bør jeg ikke sende på e-post?
- Personopplysningsloven § 12: Bruk av fødselsnummer og andre entydige identifikasjonsmidler
- GDPR artikkel 32: Sikkerhet ved behandling
- GDPR artikkel 9: Særlige kategorier av personopplysninger
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →