Auto-complete af e-mailadresser

I mange e-mailprogrammer er det en standardindstilling, at funktionen auto-complete er slået til. Funktionen fungerer ved, at e-mailprogrammerne gemmer navne og e-mailadresser på modtagere af e-mails, som en bruger tidligere har sendt en e-mail til. På baggrund heraf oplistes automatisk forslag til modtagere, når brugeren en anden gang begynder at skrive i et af modtagerfelterne ’Til, Cc, Bcc’. Brugeren kan herefter let vælge modtagere fra listen ved et enkelt klik på den forudfyldte modtager uden at skulle skrive hele e-mailadressen.

Det vil ofte være tidsbesparende at anvende denne funktion, og den kan også understøtte, at der sker fremsendelse til rette modtager. Anvendelse af funktionen ”auto-complete” fører imidlertid i nogle tilfælde til, at brugerne kommer til at vælge en forkert modtager med den følge, at e-mailen bliver sendt til uvedkommende. Hvis e-mailen indeholder personoplysninger, vil der herved være sket et brud på persondatasikkerheden.

I kraft af den udbredte anvendelse af e-mail som kommunikationsform til at sende personoplysninger internt og eksternt i organisationer og den generelle høje grad af digitalisering i sagsbehandlingen - både i den private og i den offentlige sektor - modtager Datatilsynet hyppigt anmeldelser om brud på persondatasikkerheden vedrørende fejlfremsendelse af e-mails, som skyldes anvendelsen af funktionen ”auto-complete”.

Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige skal træffe passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Den dataansvarlige har med andre ord en pligt til at identificere de risici, den dataansvarliges behandling af personoplysninger udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. 

Det er Datatilsynets opfattelse, at kravet i databeskyttelsesforordningens artikel 32 om passende sikkerhed indebærer, at alle dataansvarlige – både i den private og i den offentlige sektor – der anvender funktionen ”auto-complete” i e-mailprogrammer, har pligt til at gennemføre passende sikkerhedsforanstaltninger for at mindske risikoen for, at oplysninger om registrerede, herunder særligt fortrolige og/eller følsomme oplysninger, kommer til uvedkommendes kendskab.

Dataansvarlige, der anvender funktionaliteten auto-complete i e-mailprogrammer, hvor der også håndteres personoplysninger, skal kunne dokumentere, at der er foretaget en risikovurdering i forhold de registreredes rettigheder, og at man i den forbindelse har overvejet behovet for at gennemføre organisatoriske og/eller tekniske foranstaltninger, der kan mindske risikoen for uberettiget videregivelse af personoplysninger via e-mails til uvedkommende. Det kan indgå som led i risikovurderingen af det e-mailprogram, som den dataansvarlige benytter. Opleves brud på persondatasikkerheden, bør dette normalt give anledning til, at der skal foretages en fornyet risikovurdering, og at man genovervejer, om man fortsat har de rette sikkerhedsforanstaltninger på plads, som effektivt kan imødegå nye tilsvarende brud.  

Dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger, kan efter Datatilsynets opfattelse ikke nøjes med at gennemføre organisatoriske sikkerhedsforanstaltninger, f.eks. i form af retningslinjer om kommunikation og awareness. Disse dataansvarlige skal altså også gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlforsendelse, hvis funktionen auto-complete er aktiveret i e-mailprogrammet. Hvis det alene er dele af organisationen, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger, kan de tekniske foranstaltninger eventuelt begrænses til at gælde for dem.

Dette gælder også, selvom organisationen har faste procedurer for, at der ikke må sendes fortrolige og følsomme personoplysninger via e-mail ud af organisationen, men at der f.eks. altid skal anvendes sikker post – i hvert fald hvis der internt sendes personoplysninger via e-mail.

Hvis organisationen almindeligvis kommunikerer med borgere via e-mails, vil modtagernes mailadresser nemlig være gemt i e-mailprogrammet, og herved opstår der risiko for fejlfremsendelse som følge af brugen af auto-complete.

Fejlfremsendelse af e-mails kan i øvrigt indebære et yderligere sikkerhedsbrud, idet oplysningerne ikke altid vil være transmitteret på en forsvarlig måde i forhold til gældende krav til sikker forsendelse. Læs mere om sikker kommunikation her.

Datatilsynet har udarbejdet en liste med eksempler på organisatoriske og tekniske sikkerhedsforanstaltninger, som kan overvejes indført for at mindske risikoen for fejlfremsendelser ved anvendelsen af auto-complete. Listen er ikke udtømmende og det vil altid være en konkret risikovurdering efter artikel 32, som kan vise, hvilke tiltag der er relevante for den enkelte organisation og behandlingssituation.  

• Fastsætte retningslinjer for intern og ekstern kommunikation, hvori bl.a. nedenstående forslag kan indarbejdes.
• Udbrede kendskabet til retningslinjer om kommunikation til alle relevante medarbejdere og løbende gennemføre awareness herom, herunder om at der skal udvises den fornødne påpasselighed for at sikre, at e-mails mv. ikke sendes til forkerte modtagere.
• Indføre krav om, at man ved afsendelse af eksterne e-mails ikke må indtaste e-mailadresserne (manuelt eller ved anvendelse af auto-complete), men at man derimod skal kopiere dem fra f.eks. et CRM-system, hvor de allerede er registreret og bekræftet.
• Indføre kontrol mellem sagsbehandlingsskridt, f.eks. ved lade et ekstra sæt øjne (f.eks. en betroet kollega) kontrollere e-mailen inden afsendelse, hvis der er tale om en forsendelse med en større mængde personoplysninger.
• Sikre jævnlig sletning af gemte e-mailadresser, der ikke er benyttet for nylig.
• Anvende meddelelsesforsinkelse, som bevirker, at meddelelsen kan slettes/redigeres inden for en vis periode efter, der er klikket på send-knappen.
• Gennemføre tekniske foranstaltninger, der advarer om, hvem man sender til. Dette kan f.eks. være en funktionalitet, der indikerer, at en e-mail er ved at blive sendt til 1) en anden modtager end parten på sagen, 2) ud af organisation/myndigheden eller 3) ud af den enhed/afdeling, hvor der på baggrund af risikovurderingen er indført tekniske foranstaltninger for at mindske risikoen for fejlfremsendelser.
• Slå auto-complete-funktionen fra.

Eksempel på, når dataansvarlige i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger:

• Medarbejderne i en kommunes børne- og unge afdeling behandler ofte sager, der indeholder meget store mængder af personoplysninger om kommunens borgere, herunder oplysninger af fortrolig og/eller følsom karakter og om mindreårige. Kommunen har faste procedurer for, at der ikke sendes fortrolige og følsomme personoplysninger via e-mail ud af organisationen, men at de altid skal sende til borgernes e-Boks. Dette er medarbejderne yderst opmærksomme på – men de kommunikerer tit med borgere via e-mail, når de skal aftale mødetidspunkter og koordinere indsatser med andre myndigheder mv., så der ligger også borgeres e-mailadresser i e-mailprogrammet.
  
  Ofte er der travlt i afdelingen og generelt bliver sagers dokumenter sendt frem og tilbage internt via e-mail i forbindelse med sagsbehandlingen. Grundet et øjebliks uopmærksomhed kommer en medarbejder til at sende en e-mail vedhæftet et excel-ark med helbredsoplysninger om 50 børn til en borger ved navn Sonja Jansen i stedet for – som tiltænkt – til sin kollega Sonja Jensen. Fejlforsendelsen hang sammen med anvendelsen af funktionen ”autocomplete”, som, automatisk genererede Sonja Jansens e-mailadresse som det øverste forslag, da medarbejderen skrev fornavnet i modtagerfeltet.  
  
  
• Policemedarbejderne i et forsikringsselskab sidder til dagligt og tegner livsforsikringer og sender i den forbindelse policer samt helbredoplysninger mv. til de respektive forsikringstagere. Til dette anvendes e-mail oftest som kommunikations- og kontaktform. Forsikringsselskabet har som dataansvarlig foretaget en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og har på den baggrund gennemført en sikkerhedsforanstaltning, i form af kryptering ved transmission, for at imødegå den identificerede risiko.
  
  Det er gentagende gange hændt, at policemedarbejderne ved en fejl sender en mail, indeholdende en policeoversigt samt helbredoplysninger, til en forkert forsikringstager, da medarbejderne vælger det forkerte navn på listen af modtagere, som bliver foreslået af Outlooks autocomplete funktion.

Eksempler på dataansvarlige, der ikke i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger:

• En virksomhed varetager eftersyn af legepladser. De kommunikerer med mange borgere og myndigheder hver dag omkring godkendelsesprocedurer, sender rapporter ud med resultatet af gennemgangen samt regninger for de gennemførte eftersyn. Materialet indeholder aldrig oplysninger af fortrolig eller følsom karakter.
  
  
• Hvis virksomheden derimod også har en HR afdeling, som ofte behandler oplysninger af fortrolig og følsom karakter, da virksomheden ofte har ansatte med skånehensyn eller som er aktiveret på baggrund af en kommunal beskæftigelsesindsats, vil der formentlig kunne være tale om behandling i et vist systematisk omfang for så vidt angår de medarbejdere, som er aktivt beskæftiget med HR.
  
  
• En lille privat virksomhed behandler personoplysninger om borgere, herunder oplysninger af fortrolig og følsom karakter i form af bl.a. genetisk data som en del af deres kerneydelse. Virksomheden har faste procedurer for, at al sagsbehandling foregår i virksomhedens interne system, og alle medarbejdere indskærpes jævnligt, at der under ingen omstændigheder må sendes oplysninger af fortrolig og følsom karakter via e-mail, hverken internt eller ud af huset. Dette overholdes generelt af medarbejderne, og det sker yderst sjældent, at e-mail anvendes som kommunikations- og kontaktform, da virksomhedens medarbejdere typisk ikke har meget ekstern kontakt.

EDPB's retningslinjer 01/2021 om eksempler på anmeldelse af brud på persondatasikkerheden