Gemt

Datatilsynet skærper kravene: E-mails med følsomme eller fortrolige personoplysninger skal krypteres

31. juli 2018

Virksomheder skal fremover normalt kryptere mails, hvis de indeholder følsomme eller fortrolige personoplysninger. Det udtaler Datatilsynet, der vil håndhæve kravet fra 1. januar 2019. Dermed har virksomhederne 6 måneder til at indrette sig på det nye krav.

Hvis du sender mails indeholdende følsomme eller fortrolige personoplysninger, vil du fra 1. januar skulle kryptere mailen. Det slår Datatilsynet fast i en ny udtalelse.

Hvad er følsomme personoplysninger?

Følsomme personoplysninger er efter persondataforordningens art. 9:

helbredsoplysninger (fx hvad personen fejler, men ikke at en person er syg), oplysninger om fagforeningsmæssigt tilhørsforhold, om race eller etnisk oprindelse, om politisk, religiøs eller filosofisk overbevisning, oplysning om en fysisk persons seksuelle forhold eller seksuelle orientering, samt oplysninger om genetiske data og biometriske data med det formål entydigt at identificere den pågældende.

Hvad er fortrolige personoplysninger?

Fortrolige personoplysninger er oplysninger, der efter den almindelige opfattelse i samfundet, ikke bør komme til offentlighedens kendskab. Som eksempler på fortrolige oplysninger, nævner Datatilsynet:

Cpr. numre, efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, interne familieforhold, herunder oplysninger om fx selvmordsforsøg og ulykkestilfælde.

Hvad betyder de nye krav for netbutikker?

For de fleste netbutikker vil kravet næppe betyde noget, da ordrebekræftelser almindeligvis ikke indeholder følsomme eller fortrolige oplysninger.

Derimod kan kravet få betydning, hvis du sælger medicin, der kan sige noget om helbredsforhold. Sælger du sexlegetøj, bør du også overveje, om du skal kryptere ordrebekræftelser, der sendes på mails.

Praktiske råd

Hvis I modtager en mail fra kunden, der indeholder følsomme eller fortrolige oplysninger, så lad være med at klikke ”svar”, så kundens mail bliver sendt retur sammen med jeres svar, men send en ny mail, hvor I undgår at referere de følsomme eller fortrolige oplysninger.

Slet de følsomme eller fortrolige oplysninger, I evt. modtager fra kunden, hvis I ikke har brug for dem.

I forhold til dine medarbejdere kan den nye praksis også få betydning. I må formentlig ikke sende ansættelseskontrakter pr. mail via internettet, hvis de ikke er krypterede. Det afhænger selvfølgelig af, hvilke oplysninger de indeholder.

Hvorfor stiller Datatilsynet det nye krav?

Efter Databeskyttelsesforordningen skal du gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, at personoplysninger fx ikke kommer til uvedkommendes kendskab. Hvad der er en passende sikkerhedsforanstaltning afhænger bl.a. af oplysningernes karakter, risiciene og behandlingens karakter. Der er også risiko for, at en mail havner hos den forkerte modtager.

Læs Datatilsynets nyhed

Artiklen blev oprindeligt publiceret på fdih.dk.