Datatilsynet fastholder praksis i forhold til brevpost

Dato: 09-07-2026

Datatilsynet vurderer fortsat, at fysisk brevpost som udgangspunkt er en tilstrækkelig sikker måde at fremsende personoplysninger på – men det kræver en konkret risikovurdering.

Det har længe været Datatilsynets praksis, at fysisk brevpost som udgangspunkt vil være en tilstrækkelig sikker fremsendelsesmetode – også ved fremsendelse af fortrolige og følsomme oplysninger. En forudsætning herfor er dog, at den dataansvarlige har foretaget en korrekt risikovurdering.

Siden årsskiftet har der imidlertid flere steder i landet været udfordringer med levering af fysisk brevpost. Det har været omtalt i medierne, ligesom Datatilsynet har modtaget henvendelser herom og anmeldelser af brud på persondatasikkerheden som følge af, at brevpost er gået tabt. Det har samlet ført til, at Datatilsynet har fundet anledning til at genoverveje sin praksis.

Datatilsynet fører generelt tilsyn med, at myndigheder og virksomheder overholder databeskyttelsesreglerne, herunder reglerne om sikker transmission af personoplysninger. Det konkrete tilsyn med postmarkedet og sikker levering af breve varetages imidlertid af Trafikstyrelsen.  

Datatilsynet har derfor i forbindelse med genovervejelsen af tilsynets praksis været i dialog med Trafikstyrelsen, som har oplyst, at styrelsen er opmærksom på de udfordringer med brevleverancen, der bl.a. har været omtalt i medierne, men at sikkerheden ved levering af post generelt set ikke vurderes at have ændret sig betydeligt.

Husk at risikovurdere

Datatilsynet har bl.a. på baggrund af dialogen med Trafikstyrelsen vurderet, at tilsynet på nuværende tidspunkt ikke foretager sig yderligere, og Datatilsynets praksis kan derfor fortsætte. Det vil sige, at det generelt set fortsat er tilstrækkeligt sikkert at fremsende (fortrolige og følsomme) oplysninger via brev. Datatilsynet skal samtidig indskærpe, at det altid påhviler den enkelte dataansvarlige at foretage en risikovurdering af, om personoplysninger transmitteres tilstrækkeligt sikkert, herunder også når oplysninger fremsendes via fysisk brevpost.

Dataansvarlige skal i den forbindelse overveje, om det er nødvendigt at implementere yderligere sikkerhedsforanstaltninger – f.eks. ved at sende fysisk brevpost som rekommanderet post – eller om der er behov for andre supplerende foranstaltninger, som dataansvarlige eventuelt kan kræve etableret af postleverandøren.

Det kan f.eks. være særligt nødvendigt, hvis man som dataansvarlig sender oplysninger, der er i (højere) risiko for at blive stjålet og misbrugt, med fysisk post. Det kan også være nødvendigt, hvis man i særligt stort omfang benytter fysisk brevpost til at fremsende fortrolige og følsomme oplysninger, eller hvis man gentagne gange har oplevet, at post ikke er blevet leveret sikkert til den korrekte modtager.

Datatilsynet skal i den forbindelse også understrege, at dataansvarlige bør afstå fra at sende oplysninger med fysisk post, hvis det ikke er muligt at etablere yderligere foranstaltninger, som en risikovurdering viser er nødvendige for, at fremsendelsen kan foregå tilstrækkeligt sikkert. Eksempelvis er det tidligere blevet vurderet, at det ikke længere var tilstrækkeligt sikkert at sende pas med fysisk post, hvorfor de nu i stedet skal afhentes hos kommunen.

Datatilsynet fører tilsyn med udvalgte dataansvarlige

Dataansvarlige, der benytter fysisk post til fremsendelse af personoplysninger, skal derfor – som hidtil – foretage de fornødne risikovurderinger af, om fremsendelsesmetoden i den konkrete situation er tilstrækkelig sikker.

Det gælder særligt dataansvarlige, der i stort omfang benytter fysisk brevpost til at fremsende fortrolige og følsomme oplysninger, eller som – uanset hvor meget post de sender – gentagne gange har oplevet, at post ikke er blevet leveret sikkert til den korrekte modtager.

Datatilsynet vil inden længe føre tilsyn med, om udvalgte dataansvarlige har foretaget de fornødne risikovurderinger.