Som følge af databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling er der ikke længere belæg for at opretholde en sondring mellem den offentlige sektor og den private sektor, når det kommer til sikkerhedskravene i forbindelse med transmission af følsomme oplysninger og oplysninger, som skal undergives fortrolighed, via netværk, hvor den dataansvarlige ikke har fuld kontrol.
Både offentlige myndigheder og private virksomheder vil i henhold til databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med – via SMS – at transmittere følsomme oplysninger og oplysninger, som skal undergives fortrolighed, og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.
Det er i den forbindelse Datatilsynets opfattelse, at SMS er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på. Det er dog ikke et format, der skal benyttes til reel sagsbehandling, ligesom det er tilsynets opfattelse, at brugen af SMS-response (f.eks. send ”ja” til 1234) normalt ikke vil kunne undergives en passende sikkerhed, til denne form for behandlinger.
Det er endvidere Datatilsynets vurdering, at indhold med følsomme oplysninger og oplysninger, som skal undergives fortrolighed, normalt ikke skal sendes som SMS.
Dataminimering
Databeskyttelsesreglerne indeholder bl.a. et grundlæggende princip om dataminimering, som den dataansvarlige altid skal overholde. Princippet fastslår, at behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet.
Datatilsynet opfordrer på den baggrund de dataansvarlige til – mere aktivt – at dataminimere. Dette kan som udgangspunkt gøres ved, at alle de følsomme og fortrolige elementer pilles ud af SMS-teksten.
Alternativt skal den dataansvarlige normalt benytte andre services, hvor der kan foretages kryptering. Som minimum under transporten af data, men hvis dette skønnes en nødvendig sikkerhedsforanstaltning, også af selve indholdet.
Der kan eksempelvis være tale om servicebeskeder af følgende karakter:
”Husk din aftale [dato/kl.] på [X] Hospital, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”
”Husk din aftale [dato/kl.] hos lægen, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”
”Husk din aftale [dato/kl.] hos tandlæge [X], [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”
”Husk din aftale [dato/kl.] med [X] Kommune, [adresse]. Evt. afbud på [tlf.nr./e-mailadresse].”
”Vi har indsat kr. 2.400,- på din konto. Mvh. [X] Kommune.”
Alle konkrete henvisninger til en specifik diagnose/helbredsoplysninger er i eksemplerne ovenfor skrevet ud af SMS-teksten. Der står f.eks. ikke noget om, hvilken behandling borgeren skal møde ind til (f.eks. ”til behandling for nyresten”) – eller hvor behandlingen skal foregå (f.eks. ”du skal møde på Diabetesambulatoriet eller i Misbrugscenteret”). Det er i den forbindelse i øvrigt vigtigt at være opmærksom på, at SMS-teksten ikke kommer med nogen nærmere angivelse af en indgang/adresse, hvis den i sig selv afslører en så specifik afdeling eller lignende, at der reelt er beskrevet en sygdom/helbredsoplysning.
I eksemplerne ovenfor er også alle oplysninger, som skal undergives fortrolighed, skrevet ud af SMS-teksten. Der står f.eks. ikke, at borgeren skal møde ”i afdelingen for unge med særlige behov” eller, at det er en påmindelse til borgeren om, at han/hun skal ”til samtale om din kontanthjælp”, ligesom det ikke er angivet, hvilken type af ydelse, der ligger til grund for den udbetaling af penge, der er sket til borgeren (f.eks. ”kontanthjælp”).
Oplysninger, som skal undergives fortrolighed er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Oplysningerne vil endvidere ofte være underlagt særregulering i anden lovgivning. Læs mere om denne type personoplysninger her.
NemSMS
Er vurderingen efter, at der er foretaget en risikovurdering, at SMS (fortsat) kan benyttes, da bør de dataansvarlige – der har mulighed for det – efter Datatilsynets opfattelse bruge NemSMS.
NemSMS er en fællesoffentlig sms-løsning, hvor borgere kan vælge at registrere et mobilnummer, så de kan modtage servicebeskeder via SMS fra offentlige myndigheder, f.eks. påmindelser om tider til undersøgelser på hospital mv. Ud over at minde borgeren om aftaler er målet med NemSMS, at færre borgere udebliver fra aftaler med det offentlige.
Baggrunden for anbefalingen af NemSMS er, at løsningen bl.a. har indbygget validering af telefonnumrene, og at der i løsningen er indbygget en række kvalitetssikringsfunktioner, som skal sikre, at der ikke sendes beskeder til forkerte modtagere.
Siden 2015, er der sket en vækst i antallet af registrerede borgere på NemSMS. Pr. december 2018 er 45 % af samtlige borgere i Danmark tilmeldt NemSMS. For borgere mellem 15 og 75 år er andelen af tilmeldte over 65 %.
Du kan læse mere om NemSMS på Digitaliseringsstyrelsens hjemmeside og på borger.dk.