En del af de mange anmeldelser om brud på persondatasikkerheden, som vi får i Datatilsynet, vedrører oplysninger sendt med mail til den forkerte modtager. Nogle af disse brud kan undgås, hvis man slår funktionen auto-complete fra i sit mailprogram.
I mange mailprogrammer – hos både offentlige myndigheder og private virksomheder – er det en standardindstilling, at systemet foreslår en modtager, man har skrevet til før, så snart man begynder at taste i modtagerfeltet. Det er belejligt, fordi det sparer lidt tid, men i nogle tilfælde resulterer det også i, at man kommer til at sende mailen til den forkerte modtager – f.eks. en borger med det samme fornavn som den, man egentlig ville have skrevet til. Det kan være et brud på persondatasikkerheden, hvis mailen indeholder personoplysninger, og i de tilfælde har den dataansvarlige pligt til at underrette Datatilsynet.
Derfor anbefaler vi, at man lader det indgå i sin risikovurdering – også selvom det går ud over funktionaliteten – at slå auto-complete fra.
Husk: Ansvaret for vurderingen og indførelsen af, hvad der skønnes som passende foranstaltninger påhviler altid den enkelte dataansvarlige.
Menneskelige og tekniske fejl
Groft sagt kan man dele sikkerhedsbruddene op i to kategorier – alt efter om de skyldes menneskelige fejl eller tekniske årsager.
- Hyppigst ser vi menneskelige fejl, f.eks. fejlindtastninger (utilsigtede offentliggørelser og videregivelser), klippe-klistre-fejl, manglende fjernelse af personoplysninger ved "anonymisering", flettebreve, auto-complete og lignende, der medfører, at modtageren bliver indtastet forkert eller ikke verificeret inden afsendelsen af en mail.
- Af tekniske årsager til sikkerhedsbrud er typetilfældene: dårlig kode, URL’er hvor personoplysninger (telefonnummer, cpr mv.) er en del af en offentliggjort URL, manglende kryptering, manglende validering af brugere, manglende patchning, ingen eller kun dårligt konfigureret firewall, manglende hærdning af eksponerede komponenter, "test"-systemer med livedata, og manglende segmentering af netværk / krydscontaminering m.m.
Læs også Datatilsynets vejledning om behandlingssikkerhed – databeskyttelse gennem design og standardindstillinger her.