Sikkerhed ved transmission af personoplysninger via SMS

Publiceret 16-07-2019
Nyhed

Overgangen fra persondataloven til databeskyttelsesforordningen indebærer, at dataansvarlige skal tænke persondatasikkerhed på en grundlæggende ny måde - også i forhold til brugen af SMS.

Datatilsynet offentliggjorde i efteråret 2010 på tilsynets tidligere hjemmeside et sæt retningslinjer, som ville blive lagt til grund i tilsynets administration af den tidligere gældende persondatalovs sikkerhedskrav i forhold til brug af sms i den offentlige sektor. Retningslinjerne, der indebar en fravigelse af de dagældende regler om sikkerhedskrav ved transmission af følsomme og fortrolige personoplysninger over åbne net, blev i 2015 opdateret og videreført, indtil de nye databeskyttelsesregler fandt anvendelse den 25. maj 2018.

Brug af SMS til at kommunikere med borgerne – de registrerede – er imidlertid også efter den 25. maj 2018 en almindeligt forekommende behandling. Dette er tilfældet både i den offentlige sektor og i den private sektor.

Overgangen fra persondataloven til databeskyttelsesforordningen indebærer, at de dataansvarlige i begge sektorer skal tænke persondatasikkerhed på en grundlæggende ny måde. Der er lagt op til en mere risikobaseret tilgang til, hvad der må anses som passende sikkerhed. Udgangspunktet efter forordningen er således, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder, og at der skal etableres et sikkerhedsniveau, som passer til disse risici. 

Det er i den forbindelse Datatilsynets opfattelse, at SMS er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på. Samtidig er det dog tilsynets vurdering, at transmission via SMS af følsomme oplysninger og oplysninger, som skal undergives fortrolighed, normalt indebærer en så betydelig risiko for de registreredes rettigheder og frihedsrettigheder, at de ikke bør sendes som SMS.

Der findes i dag brugbare alternativer til SMS ved transmission af følsomme oplysninger og oplysninger, som skal undergives fortrolighed. Datatilsynet skal endvidere opfordre de dataansvarlige til – mere aktivt – at begrænse indholdet af SMS-teksten mest muligt, jf. princippet om dataminimering, ligesom de dataansvarlige – der har mulighed for det – efter Datatilsynets opfattelse kan bruge NemSMS til at mindske risikobilledet for at sende SMS til en forkert modtager.

Læs mere i Datatilsynets tekst om sikkerhed ved transmission af personoplysninger via SMS.