Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige skal træffe passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Den dataansvarlige har med andre ord en pligt til at identificere de risici, den dataansvarliges behandling af personoplysninger udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet i databeskyttelsesforordningens artikel 32 om passende sikkerhed indebærer, at alle dataansvarlige – både i den private og i den offentlige sektor – der anvender funktionen ”auto-complete” i e-mailprogrammer, har pligt til at gennemføre passende sikkerhedsforanstaltninger for at mindske risikoen for, at oplysninger om registrerede, herunder særligt fortrolige og/eller følsomme oplysninger, kommer til uvedkommendes kendskab.
Dataansvarlige, der anvender funktionaliteten auto-complete i e-mailprogrammer, hvor der også håndteres personoplysninger, skal kunne dokumentere, at der er foretaget en risikovurdering i forhold de registreredes rettigheder, og at man i den forbindelse har overvejet behovet for at gennemføre organisatoriske og/eller tekniske foranstaltninger, der kan mindske risikoen for uberettiget videregivelse af personoplysninger via e-mails til uvedkommende. Det kan indgå som led i risikovurderingen af det e-mailprogram, som den dataansvarlige benytter. Opleves brud på persondatasikkerheden, bør dette normalt give anledning til, at der skal foretages en fornyet risikovurdering, og at man genovervejer, om man fortsat har de rette sikkerhedsforanstaltninger på plads, som effektivt kan imødegå nye tilsvarende brud.
Dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger, kan efter Datatilsynets opfattelse ikke nøjes med at gennemføre organisatoriske sikkerhedsforanstaltninger, f.eks. i form af retningslinjer om kommunikation og awareness. Disse dataansvarlige skal altså også gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlforsendelse, hvis funktionen auto-complete er aktiveret i e-mailprogrammet. Hvis det alene er dele af organisationen, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger, kan de tekniske foranstaltninger eventuelt begrænses til at gælde for dem.
Dette gælder også, selvom organisationen har faste procedurer for, at der ikke må sendes fortrolige og følsomme personoplysninger via e-mail ud af organisationen, men at der f.eks. altid skal anvendes sikker post – i hvert fald hvis der internt sendes personoplysninger via e-mail.
Hvis organisationen almindeligvis kommunikerer med borgere via e-mails, vil modtagernes mailadresser nemlig være gemt i e-mailprogrammet, og herved opstår der risiko for fejlfremsendelse som følge af brugen af auto-complete.
Fejlfremsendelse af e-mails kan i øvrigt indebære et yderligere sikkerhedsbrud, idet oplysningerne ikke altid vil være transmitteret på en forsvarlig måde i forhold til gældende krav til sikker forsendelse. Læs mere om sikker kommunikation her.
Datatilsynet har udarbejdet en liste med eksempler på organisatoriske og tekniske sikkerhedsforanstaltninger, som kan overvejes indført for at mindske risikoen for fejlfremsendelser ved anvendelsen af auto-complete. Listen er ikke udtømmende og det vil altid være en konkret risikovurdering efter artikel 32, som kan vise, hvilke tiltag der er relevante for den enkelte organisation og behandlingssituation.
- Fastsætte retningslinjer for intern og ekstern kommunikation, hvori bl.a. nedenstående forslag kan indarbejdes.
- Udbrede kendskabet til retningslinjer om kommunikation til alle relevante medarbejdere og løbende gennemføre awareness herom, herunder om at der skal udvises den fornødne påpasselighed for at sikre, at e-mails mv. ikke sendes til forkerte modtagere.
- Indføre krav om, at man ved afsendelse af eksterne e-mails ikke må indtaste e-mailadresserne (manuelt eller ved anvendelse af auto-complete), men at man derimod skal kopiere dem fra f.eks. et CRM-system, hvor de allerede er registreret og bekræftet.
- Indføre kontrol mellem sagsbehandlingsskridt, f.eks. ved lade et ekstra sæt øjne (f.eks. en betroet kollega) kontrollere e-mailen inden afsendelse, hvis der er tale om en forsendelse med en større mængde personoplysninger.
- Sikre jævnlig sletning af gemte e-mailadresser, der ikke er benyttet for nylig.
- Anvende meddelelsesforsinkelse, som bevirker, at meddelelsen kan slettes/redigeres inden for en vis periode efter, der er klikket på send-knappen.
- Gennemføre tekniske foranstaltninger, der advarer om, hvem man sender til. Dette kan f.eks. være en funktionalitet, der indikerer, at en e-mail er ved at blive sendt til 1) en anden modtager end parten på sagen, 2) ud af organisation/myndigheden eller 3) ud af den enhed/afdeling, hvor der på baggrund af risikovurderingen er indført tekniske foranstaltninger for at mindske risikoen for fejlfremsendelser.
- Slå auto-complete-funktionen fra.