Datatilsynet modtager stadig mange anmeldelser af brud på persondatasikkerheden, hvor uvedkommende ved brug af f.eks. phishing har fået adgang til medarbejderes mailkonti. I mange af de anmeldelser, som Datatilsynet modtager, oplyser den dataansvarlige, at adgangen er blevet udnyttet til at udsende (autentiske) phishingmails fra den kompromitterede mailkonto. De dataansvarlige glemmer imidlertid ofte at undersøge, om de uvedkommende også har haft adgang til de personoplysninger, der eventuelt er blevet opbevaret i den kompromitterede mailboks, og vurderet risikoen forbundet hermed.
Derfor er det vigtigt, at man som dataansvarlig grundigt undersøger, om en uatoriseret adgang til en mailkonti kun er blevet udnyttet til at udsende phishingmails, eller om den uatoriserede adgang også har ført til, at uvedkommende kan have haft – eller har fået – adgang til personoplysninger, der muligvis er blevet opbevaret i mailboksen. Man skal i den forbindelse også sørge for at underrette de registrerede, hvis man vurderer, at der sandsynligvis kan være en høj risiko forbundet med, at uvedkommende har haft adgang til deres oplysninger i mailboksen, hvilket ofte er tilfældet, når der er tale om hackere o.l.
For at sænke sandsynligheden for, at uvedkommende får adgang til mailkonti via internettet, bør man overveje at indføre MFA, og man skal selvfølgelig også sørge for at have retningslinjer omkring opbevaring af personoplysninger i mailsystemet, som man eventuelt følger op på med tekniske eller manuelle kontroller.
Læs nærmere om underretning af registrerede i Datatilsynets vejledning om håndtering af brud her: Håndtering af brud på persondatasikkerheden
Læs nærmere om implementering af MFA i Datatilsynets foranstaltningskatalog her: Flerfaktorautentifikation (MFA)