Transmission af personoplysninger via SMS

Den generelle tendens på det danske telemarked er, at brug af SMS har været nedadgående. Brugsmønsteret for dataansvarlige og registrerede, der ønsker fortrolighed og vished omkring identiteten af afsendere og modtagere, har i stedet bevæget sig mod brugen af APPs, der indeholder grader af kryptering eller løsninger, hvor der alene sendes et link, der kan benyttes som tilgang til oplysningerne. Med disse løsninger kan det sikres, at adgang til personoplysninger er undergivet yderligere faktorer uafhængigt af selve SMS beskeden.

Med databeskyttelsesforordningen er der lagt op til en mere risikobaseret tilgang til, hvad der må anses som passende sikkerhed. Udgangspunktet efter forordningen er således, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder, og at der skal etableres et sikkerhedsniveau, som passer til disse risici.

Generelt er både e-mail, SMS, telefax og alle øvrige transmissionsformer, der foretages over netværk den dataansvarlige ikke har kontrol over, afarter af den samme problemstilling. Uanset hvilken transmissionsform der benyttes, er der tale om situationer, hvor det potentielt er muligt – på forskellige måder – for uvedkommende at monitorere, opsnappe, læse, kopiere, eller forvanske de transmitterede oplysninger.

Den forståelsesmæssige indgangsvinkel er, at der er tale om tilfælde, hvor indholdet af en meddelelse samt oplysninger om afsender og modtager, som udgangspunkt bliver sendt i klar tekst mellem parterne. Det er i den forbindelse Datatilsynets opfattelse, at alle transmissioner af oplysninger om fysiske personer, i klar tekst, over netværk, som den dataansvarlige ikke har kontrol over, indebærer en betydelig potentiel risiko for tab, ændring, uautoriseret videregivelse og adgang til de behandlede oplysninger.

Det er dog væsentligt at holde sig for øje, at risikoscenarierne ved brugen af de forskellige transmissionsformer ikke nødvendigvis er de samme. De dataansvarlige kan derfor ikke blot gå ud fra, at de kan benytte de samme tekniske og organisatoriske foranstaltninger til at imødegå de identificerede risici i alle situationer. Dette er ofte heller ikke en teknisk mulighed på tværs af de forskellige protokoller.

For så vidt angår SMS er det Datatilsynets opfattelse, at der i dag er en meget høj og konkret risiko i forhold til ægtheden af afsenderoplysningerne. Dette skyldes, at det i dag er så udbredt uberettiget at udgive sig for at sende fra et givent mobilnummer eller at indsætte en tekst med afsender (også kaldet ”spoofing”), at selv personer uden teknisk indsigt vil kunne gøre dette. 

Det er herudover Datatilsynets vurdering, at det er muligt, for personer med den fornødne viden og vilje hertil samt for personer med adgang til teleinfrastrukturen, at se indholdet af en given SMS. Yderligere er det teknisk muligt for uvedkommende at indgå som et led i kæden af mobiltelefonantennestationer, hvorved disse uvedkommende personer kan få adgang til at se de oplysninger, der transmitteres. 

Ovennævnte risikoscenarier skal indgå som en del af de risikovurderinger, den enkelte dataansvarlige foretager i forbindelse med deres behandlinger der via SMS. 

Det er Datatilsynets vurdering, at transmission af følsomme oplysninger og oplysninger, som skal undergives fortrolighed, via SMS indebærer en betydelig risiko for de registreredes rettigheder og frihedsrettigheder, og at risikoen, som det også er tilfældet med e-mails, der bliver transmitteret via internettet, befinder sig i den høje ende af skalaen. Det er endvidere tilsynets vurdering, at risikoen for fortroligheden under transport kun i meget begrænset omfang kan mitigeres ved tiltag iværksat af den dataansvarlige selv. 

Der er efter i de seneste år, ikke sket en ændring til det bedre i forhold til selve SMS protokollen, selvom der arbejdes på at skabe en ny krypterbar standard er denne ikke tilgængelig endnu.

Læs også Datatilsynets tekst om sikkerhed ved transmission af personoplysninger via e-mail

Som følge af databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling er der ikke længere belæg for at opretholde en sondring mellem den offentlige sektor og den private sektor, når det kommer til sikkerhedskravene i forbindelse med transmission af følsomme oplysninger og oplysninger, som skal undergives fortrolighed, via netværk, hvor den dataansvarlige ikke har fuld kontrol.

Både offentlige myndigheder og private virksomheder vil i henhold til databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med – via SMS – at transmittere følsomme oplysninger og oplysninger, som skal undergives fortrolighed, og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.

Det er i den forbindelse Datatilsynets opfattelse, at SMS er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på. Det er dog ikke et format, der skal benyttes til reel sagsbehandling, ligesom det er tilsynets opfattelse, at brugen af SMS-response (f.eks. send ”ja” til 1234) normalt ikke vil kunne undergives en passende sikkerhed, til denne form for behandlinger.

Det er endvidere Datatilsynets vurdering, at indhold med følsomme oplysninger og oplysninger, som skal undergives fortrolighed, normalt ikke skal sendes som SMS.

Dataminimering

Databeskyttelsesreglerne indeholder bl.a. et grundlæggende princip om dataminimering, som den dataansvarlige altid skal overholde. Princippet fastslår, at behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet.

Datatilsynet opfordrer på den baggrund de dataansvarlige til – mere aktivt – at dataminimere. Dette kan som udgangspunkt gøres ved, at alle de følsomme og fortrolige elementer pilles ud af SMS-teksten.

Alternativt skal den dataansvarlige normalt benytte andre services, hvor der kan foretages kryptering. Som minimum under transporten af data, men hvis dette skønnes en nødvendig sikkerhedsforanstaltning, også af selve indholdet.

Der kan eksempelvis være tale om servicebeskeder af følgende karakter:

”Husk din aftale [dato/kl.] på [X] Hospital, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”

”Husk din aftale [dato/kl.] hos lægen, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”

”Husk din aftale [dato/kl.] hos tandlæge [X], [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”

”Husk din aftale [dato/kl.] med [X] Kommune, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”

”Vi har indsat kr. 2.400,- på din konto. Mvh. [X] Kommune.”

Alle konkrete henvisninger til en specifik diagnose/helbredsoplysninger er i eksemplerne ovenfor skrevet ud af SMS-teksten. Der står f.eks. ikke noget om, hvilken behandling borgeren skal møde ind til (f.eks. ”til behandling for nyresten”) – eller hvor behandlingen skal foregå (f.eks. ”du skal møde på Diabetesambulatoriet eller i Misbrugscenteret”). Det er i den forbindelse i øvrigt vigtigt at være opmærksom på, at SMS-teksten ikke kommer med nogen nærmere angivelse af en indgang/adresse, hvis den i sig selv afslører en så specifik afdeling eller lignende, at der reelt er beskrevet en sygdom/helbredsoplysning.

I eksemplerne ovenfor er også alle oplysninger, som skal undergives fortrolighed, skrevet ud af SMS-teksten. Der står f.eks. ikke, at borgeren skal møde ”i afdelingen for unge med særlige behov” eller, at det er en påmindelse til borgeren om, at han/hun skal ”til samtale om din kontanthjælp”, ligesom det ikke er angivet, hvilken type af ydelse, der ligger til grund for den udbetaling af penge, der er sket til borgeren (f.eks. ”kontanthjælp”).

Oplysninger, som skal undergives fortrolighed er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Oplysningerne vil endvidere ofte være underlagt særregulering i anden lovgivning. Læs mere om denne type personoplysninger her.

NemSMS

Er vurderingen efter, at der er foretaget en risikovurdering, at SMS (fortsat) kan benyttes, da bør de dataansvarlige – der har mulighed for det – efter Datatilsynets opfattelse bruge NemSMS.

NemSMS er en fællesoffentlig sms-løsning, hvor borgere kan vælge at registrere et mobilnummer, så de kan modtage servicebeskeder via SMS fra offentlige myndigheder, f.eks. påmindelser om tider til undersøgelser på hospital mv. Ud over at minde borgeren om aftaler er målet med NemSMS, at færre borgere udebliver fra aftaler med det offentlige.

Baggrunden for anbefalingen af NemSMS er, at løsningen bl.a. har indbygget validering af telefonnumrene, og at der i løsningen er indbygget en række kvalitetssikringsfunktioner, som skal sikre, at der ikke sendes beskeder til forkerte modtagere.

Siden 2015, er der sket en vækst i antallet af registrerede borgere på NemSMS. Pr. december 2018 er 45 % af samtlige borgere i Danmark tilmeldt NemSMS. For borgere mellem 15 og 75 år er andelen af tilmeldte over 65 %. 

Du kan læse mere om NemSMS på Digitaliseringsstyrelsens hjemmeside og på borger.dk.