Man har som dataansvarlig altid pligt til at vurdere, om kommunikation via e-mail er tilstrækkelig sikkert. Hvis man f.eks. som en naturlig del af sin forretning eller myndighedsudøvelse ofte fremsender eller modtager fortrolige eller følsomme oplysninger, skal man overveje, om kommunikationen skal foregå på en mere sikker måde end via e-mail. Det kunne f.eks. være via Digital Post eller transmissionsløsninger som klage- eller kundeportaler.
Hvis man på baggrund af konkrete og dokumenterede overvejelser har vurderet, at nogle former for kommunikation kan foregå tilstrækkelig sikkert via e-mail, skal man sørge for, at e-mails sendes til rette modtager. I den forbindelse er der foranstaltninger, som man skal overveje at etablere, og programfunktioner, som man skal forholde sig til.
Først og fremmest skal man instruere og uddanne medarbejdere i, hvornår og hvordan kommunikation kan eller skal foregå via e-mail. I forlængelse af dette skal medarbejdere ved hjælp af ajourførte oplysninger i f.eks. sagsbehandlingssystemer og kundesystemer have mulighed for at kontrollere, at oplysninger om modtagere, som de vil sende e-mails til, er korrekte.
Herudover skal man vurdere, om det er nødvendigt, at man teknisk understøtter, at e-mails bliver sendt til korrekte modtagere. Det er bl.a. altid relevant at overveje, om auto-complete-funktioner, der automatisk udfylder modtagere i e-mailprogrammer, skal opsættes på en bestemt måde, eller om de helt skal deaktiveres. Datatilsynet har for nylig udgivet en vejledning, som kan findes her.
Det kan også være en god idé at validere modtageres e-mailadresser teknisk. Det kan gøres på flere måder, herunder f.eks. ved at bruge en ”challenge-response”-model, hvor en tiltænkt modtager af en e-mail først – f.eks. ved at klikke på et fremsendt link – skal bekræfte sin e-mailadresse og sin adgang til den, før man sender meddelelser til e-mailadressen.
Du kan i øvrigt læse mere om transmission af personoplysninger via e-mail her.