Må man opfordre borgere til at bruge en ukrypteret forbindelse?

Publiceret 22-10-2020
Nyhed

Datatilsynet vurderer, at dataansvarlige ikke bør opfordre borgere til at sende personoplysninger af følsom eller fortrolig karakter over en ukrypteret internetforbindelse. Det kan indebære, at man skal stille sikre kommunikationsløsninger til rådighed for transmissionen.

Myndigheder og virksomheder skal som dataansvarlige sørge for – på baggrund af en vurdering af risikoen for borgernes rettigheder – at etablere passende sikkerhedsforanstaltninger. Det indebærer bl.a., at myndigheder og virksomheder er ansvarlige for at etablere sikre transmissionsløsninger, der imødegår de identificerede risici for borgerne – ikke kun når de sender oplysninger til borgerne, men også når de indsamler oplysninger fra borgerne til brug for behandlingen af en sag eller tjenesteydelse.

Hvem er ansvarlig?

Når myndigheder og virksomheder derfor anmoder borgere om at sende bestemte oplysninger til brug for behandlingen af en sag eller tjenesteydelse, skal de således være opmærksomme på, at de skal tilbyde borgerne en tilstrækkelig sikker transmissionsløsning. Hvis der er tale om oplysninger af fortrolig eller følsom karakter, skal myndighedernes og virksomhedernes medarbejdere huske at anbefale borgerne at sende oplysningerne via en krypteret forbindelse, eksempelvis Digital Post eller andre krypterede selvbetjeningsløsninger.

Som myndighed eller virksomhed er man derimod ikke ansvarlig for forsendelsesmåden, hvis borgeren uopfordret sender oplysninger af fortrolig eller følsom karakter via en ukrypteret forbindelse, eller hvis borgeren – til trods for en opfordring til at sende oplysningerne krypteret – alligevel anvender en usikker forsendelsesmåde.

Hvordan er Datatilsynet kommet frem til det?

Datatilsynet har tidligere i juli 2018 udtalt, at det efter tilsynets opfattelse normalt vil være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af oplysninger af fortrolig eller følsom karakter med e-mail via internettet.

Datatilsynet har, i forlængelse af denne udmelding, som var udtryk for en skærpet praksis, modtaget en række konkrete henvendelser om, at en bestemt myndighed eller virksomhed har opfordret en borger til at sende oplysninger af fortrolig eller følsom karakter ukrypteret over internettet til brug for behandlingen af en sag eller tjenesteydelse.

Hvornår er man dataansvarlig?

I forbindelse med behandlingen af disse henvendelser har Datatilsynet taget stilling til, hvorvidt myndigheder og virksomheder skal anses som dataansvarlige, når de opfordrer borgere til at sende oplysninger til brug for behandlingen af en sag eller tjenesteydelse, eller om borgerne selv er ansvarlige for deres valg af transmissionsform. 

Efter at have drøftet spørgsmålet med de øvrige europæiske tilsynsmyndigheder er det Datatilsynets vurdering, at myndighederne og virksomhederne i sådanne tilfælde må anses som dataansvarlige for indsamlingen af borgernes personoplysninger. Ved denne vurdering har tilsynet blandt andet lagt vægt på, at myndighederne og virksomhederne bestemmer formålet med indsamlingen af oplysningerne, herunder eksempelvis hvilke oplysninger der er nødvendige for behandlingen af sagen eller tjenesteydelsen, og med hvilke midler de pågældende oplysninger skal indsamles.

Hvis man som borger er i tvivl

Hvis man som borger er i tvivl om sikkerheden i forhold til den måde, myndigheden eller virksomheden har opfordret vedkommende til at sende sine oplysninger på, bør man i første omgang tage kontakt til den pågældende myndighed eller virksomhed. Hvis man derefter stadig er i tvivl om sikkerheden, kan man også rette henvendelse til Datatilsynet.

Læs mere

Vejledende tekst om kryptering af e-mails

Vejledning om behandlingssikkerhed

Mere om følsomme og fortrolige oplysninger