Datatilsynet besluttede i foråret 2010 at overveje persondatalovens sikkerhedskrav ved offentlige myndigheders kommunikation med borgerne via sms. Tilsynet bad i den forbindelse interesserede parter om at komme med forslag og synspunkter til brug for behandlingen af spørgsmålet. Datatilsynet har modtaget en række bidrag med kommentarer og konkrete eksempler fra både myndigheder og organisationer.

En opsummering af de indkomne bidrag kan læses her.

Datatilsynet har herefter besluttet, at de retningslinjer, som er omtalt nedenfor, vil blive lagt til grund i tilsynets administration af persondatalovens sikkerhedskrav i forhold til brug af sms i den offentlige sektor.

Beslutningen er truffet, efter at sagen har været behandlet i Datarådet, og beslutningen gælder foreløbig for en 5-årig periode, hvorefter tilsynet vil tage sagen op igen.

Med retningslinjerne forsøger Datatilsynet at finde en fornuftig balance mellem på den ene side behovet for at anvende sms til god service og effektiv borgerkontakt og på den anden side behovet for at beskytte personoplysninger mod misbrug, tab og uvedkommendes adgang.

Retningslinjerne omfatter både e-post og sms
På de områder, som er omfattet af de nye retningslinjer, har Datatilsynet samtidig besluttet at sidestille e-post og sms. Det betyder, at de muligheder, som nu gives for at sende borgerne beskeder via sms, også vil gælde for e-post.

Aftalepåmindelser og andre servicebeskeder
Fremover kan offentlige myndigheder – via almindelig sms og e-post – sende borgerne aftalepåmindelser og servicebeskeder, som indeholder fortrolige og/eller følsomme oplysninger.

På dette punkt fraviger Datatilsynet hermed de sikkerhedskrav, som følger af tilsynets generelle sikkerhedsvejledning.

Der kan eksempelvis være tale om servicebeskeder af følgende karakter:

”Husk din aftale [dato/kl.] på [X] Hospital, [adresse], Diabetesambulatoriet, indgang [Y]. Evt. afbud på [tlf.nr./e-mailadresse].”
”Husk din aftale [dato/kl.] med [X] Kommune, Misbrugscentret, [adresse].”
”Vi har indsat kontanthjælp kr. 2.400,- på din konto. Mvh. [X] Kommune.”

Kun hvis borgeren har sagt ja
Det er en forudsætning, at der er indhentet samtykke fra borgeren. Borgeren skal klart have sagt ja til, at sms eller e-post benyttes til servicebeskederne.

Borgerne skal til enhver tid have mulighed for at fravælge sms og e-post.

CPR-numre må ikke indgå
Oplysninger om CPR-numre må ikke indgå i de servicebeskeder, som myndigheder sender via almindelig sms eller e-post.

Kun om personen selv eller dennes børn
Beskederne må ikke indeholde oplysninger af fortrolig eller følsom karakter om andre end modtageren selv eller dennes børn.

Løsningen skal sikre, at telefonnumrene er rigtige
Fremsendelse af servicebeskeder med fortrolige og følsomme personoplysninger må kun ske via den fællesoffentlige NemSMS-løsning eller en løsning, som i mindst samme omfang sikrer, at de mobiltelefonnumre, der sendes sms’er til, er rigtige.

Autogenererede beskeder anbefales
Datatilsynet anbefaler, at processen for afsendelse af servicemeddelelser i videst muligt omfang automatiseres, således at f.eks. beskedens indhold så vidt muligt autogenereres, og at valg af telefonnumre og e-mailadresser ligeledes sker automatisk.

Ikke sagsbehandling
Der skal fortsat anvendes løsninger med kryptering, hvis der i forbindelse med egentlige sagsbehandlingsskridt (f.eks. partshøring, indhentning af oplysninger til brug for en sag, aktindsigt) er brug for at sende fortrolige eller følsomme personoplysninger.

Så få personoplysninger som muligt
Myndighederne skal også altid iagttage grundbetingelserne i persondataloven om saglighed, proportionalitet og dataminimering.

Servicebeskeder bør derfor kun indeholde oplysninger af fortrolig og følsom karakter, når dette er nødvendigt for at opfylde formålet med fremsendelse af servicebeskeden.