Datatilsynet har i denne uge modtaget en anmeldelse af et brud på persondatasikkerheden, der minder om brud, hvor auto-complete af e-mailadresser fører til, at meddelelser bliver sendt til forkerte modtagere.
Der findes nemlig mange forskellige systemer til afsendelse af meddelelser, hvor afsendelsen ikke sker til e-mailadresser, men i stedet til f.eks. CPR- eller CVR-numre. Nogle af disse systemer husker, hvilke CPR- eller CVR-numre, afsenderen tidligere har sendt meddelelser til, og tilbyder i den forbindelse – ligesom auto-complete i mailsystemer – at autoudfylde modtagerens CPR- eller CVR-nummer. Hvis man er uopmærksom, kan det føre til, at en meddelelse – som kan indeholde fortrolige og følsomme oplysninger – bliver sendt til en uvedkommende borger eller virksomhed.
Man skal i den forbindelse sørge for, at man foretager en korrekt risikovurdering af brugen af auto-complete i forhold til alle de systemer, som man bruger til afsendelse af meddelelser. Generelt er det nemlig Datatilsynets opfattelse, at reglerne for brugen af auto-complete er de samme, uanset om afsendelsen sker ved brug af e-mailadresser, CVR-numre, CPR-numre eller andet.
Her kan du læse mere om, hvad du skal gøre som dataansvarlig, hvis du vil anvende auto-complete.