Datatilsynet har taget stilling til sikkerhedsforanstaltningerne ved behandling af følsomme personoplysninger i et lokalt e-post system.

Datatilsynet udtalte i den forbindelse, at så længe der er tale om en transmission, der foregår i et lokalnet, og der således ikke er tale om ekstern kommunikation, stilles der ikke krav om kryptering.

Datatilsynets udtalelse kan sammenfattes i følgende:

Et e-post system må kun indeholde følsomme eller fortrolige oplysninger, hvis adgang til sådanne oplysninger er begrænset til de brugere, som er autoriseret dertil.

Behandling af følsomme og fortrolige personoplysninger i e-post systemer falder ind under undtagelsesbestemmelsen i § 19, stk. 2, i sikkerhedsbekendtgørelsen. Der skal således ikke foretages logning, hvis oplysningerne slettes efter en vis kortere periode, der generelt bør være af en størrelsesorden på højst en måned.

I overensstemmelse med ovenstående er det et krav, at postsystemets adgangskontrolsystem skal være aktiveret, således at en bruger kun har adgang til sin postkasse efter afgivelse af password.

Ved sletning skal e-post slettes i såvel afsenders udbakke som i modtagers indbakke samt efterfølgende i papirkurven.

Endelig skal der være truffet sædvanlige sikkerhedsmæssige foranstaltninger, herunder bl.a. beskyttelse mod uvedkommendes adgang til lokalnet og postserver.

Det tilføjes, at myndigheder må gemme e-postmeddelelser i længere tid, hvis dette sker i et system, der opfylder logningskravet.