Vi benytter cookies til at forbedre brugeroplevelsen.Læs mere om cookies

Transmission af personoplysninger via e-mail

Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse, der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige – allerede før en behandling foretages – skal foretage en kortlægning af risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder.

Anvendelse af e-mail som kommunikations- og kontaktform har de senere år antaget karakter af at være de facto standarden for skriftlig kommunikation. Dette gælder i såvel den offentlige som den private sektor.

Ovennævnte har bl.a. betydet, at kommunikationsformen er under betragtelig bevågenhed fra de aktører, der ønsker at opnå uretmæssig adgang til personoplysninger. I kraft af den øgede anvendelse af e-mail som kommunikationsform – både manuelt, men også i systemer til automatiseret fremsendelse af oplysninger – er hyppigheden af hændelser, hvor e-mail fejlagtigt fremsendes til forkerte modtagere, ligeledes stigende. Ved anvendelse af ukrypteret e-mail vil sådanne hændelser potentielt kunne medføre store læk af personoplysninger til uvedkommende.

Risikoprofilen for kompromittering af en ukrypteret e-mail over et netværk, som den dataansvarlige ikke har fuld kontrol over, må derfor betegnes som værende i den høje ende af skalaen.

Både offentlige myndigheder og private organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.

Det er i den forbindelse Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.