Datatilsynet skærper sin praksis i forhold til fremsendelse af fortrolige og følsomme personoplysninger i e-mails via internettet og giver de dataansvarlige seks måneder til at indrette sig på den nye praksis.
Den 23. juli 2018 har Datatilsynet offentliggjort en nyhed om, at tilsynet skærper sin praksis i forhold til transmission af personoplysninger med e-mail via internettet.
Fremadrettet vil det efter Datatilsynets opfattelse normalt være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.
Fortrolige og følsomme personoplysninger er bl.a.:
Oplysninger, som er særligt følsomme (fx helbredsoplysninger), strafbare
forhold, cpr-numre og de mest private af de såkaldt almindelige oplysninger om fx privatøkonomi, sociale eller familiemæssige problemer, skatteforhold, eksamenskarakterer og lignende.
Som baggrund for den skærpede praksis har Datatilsynet henvist til databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed samt den teknologiske udvikling. I en uddybende tekst fremhæver tilsynet, at anvendelse af e-mail som kommunikations- og kontaktform de senere år har antaget karakter af at være de facto standarden for skriftlig kommunikation. Dette har bl.a. betydet, at kommunikationsformen er under betragtelig bevågenhed fra de aktører, der ønsker at opnå uretmæssig adgang til personoplysninger.
I kraft af den øgede anvendelse af e-mail som kommunikationsform er hyppigheden af hændelser, hvor e-mails fejlagtigt fremsendes til forkerte modtagere, stigende. Ved anvendelse af ukrypteret e-mail vil sådanne hændelser potentielt kunne medføre store læk af personoplysninger til uvedkommende.
Risikoprofilen for kompromittering af en ukrypteret e-mail over et netværk, som den dataansvarlige ikke har fuld kontrol over, må derfor betegnes som værende i den høje ende af skalaen.
Datatilsynets nyhed tager ikke stilling til, om offentlige myndigheder fremover vil kunne anvende de undtagelser, som fulgte af tilsynets fortolkning af den tidligere gældende persondatalov med tilhørende sikkerhedsbekendtgørelse. Det må forventes, at tilsynet kommer med en udmelding om dette.
Datatilsynet vil håndhæve den nye praksis fra 1. januar 2019
Da Datatilsynets praksisændring vil kræve noget tilpasning i den private sektor, har tilsynet besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019.
Dette giver de dataansvarlige ca. seks måneder til at afklare, om de har behov for at ændre deres procedurer omkring brug af e-mail.
Bech-Bruuns kommentar
Den nye praksis vil navnlig kræve tilpasning i den private sektor, som hidtil ikke har været omfattet af samme krav som de offentlige myndigheder.
Virksomheden skal bl.a. klarlægge, om den har behov for at beskytte oplysninger, der sendes via e-mail. Ud over de mest private (fortrolige) og følsomme personoplysninger kan det være, at virksomheden også vil beskytte oplysninger om forretningsmæssige forhold, som ikke må komme til uvedkommendes kendskab.
Hvis virksomheden konkluderer, at den skal indføre mulighed for at sende ”sikker mail”, må den afklare, hvilken løsning der skal anvendes. Her bør virksomheden både undersøge, hvad de tilgængelige løsninger tilbyder af beskyttelse, og hvordan de anvendes i praksis, fx brugervenligheden.
Læs mere om Datatilsynets skærpede praksis her:
Datatilsynets nyhed
Datatilsynets uddybende tekst om transmission af personoplysninger via e-mail
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →