Datatilsynet skærper sin praksis over for private virksomheder
Datatilsynet skærper sin praksis over for private virksomheder, når de sender følsomme og fortrolige personoplysninger per e-mail
Datatilsynet har varslet en praksisændring, der gør op med tilsynsmyndighedens hidtidige praksis over det seneste årti. En praksis, der alene anbefalede den private sektor at anvende kryptering ved fremsendelse af e-mails indeholdende fortrolige og/eller følsomme personoplysninger, altså ikke stillede et egentlig krav herom.
Et krav, som alle offentlige myndigheder siden årtusindeskiftet imidlertid har været pålagt.
Datatilsynets beslutning om at ændre praksis sker i medfør af de nye regler i databeskyttelsesforordningen og som følge af den teknologiske udvikling siden 2008. På den baggrund har Datatilsynet meldt ud, at det fremadrettet vil være myndighedens opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige myndigheder og private virksomheder – at anvende kryptering ved fremsendelse af fortrolige og følsomme personoplysninger i en e-mail.
Praksisændringen rammer alene fremsendelsen af e-mails, der indeholder følsomme og fortrolige personoplysninger, såsom helbredsoplysninger, oplysninger om strafbare forhold, cpr-numre samt almindelige personoplysninger, fx oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, interne familieforhold og lignende. Datatilsynet henviser i denne henseende til vurderingen af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, som foretages på baggrund af straffelovens § 152 sammenholdt med forvaltningslovens § 27.
Skærpelsen skal højne det generelle sikkerhedsniveau, således at potentielle sikkerhedsbrud forebygges, da ”kryptering” betyder, at der anvendes en hemmelig krypteringsnøgle, der gør en usikker forbindelse sikker, når der sendes en e-mail fra én e-mailkonto til en anden.
Datatilsynets praksisændring vil kræve en tilpasning i den private sektor, hvorfor tilsynsmyndigheden har besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019. På den baggrund har den private sektor således 4 måneder til at implementere passende interne procedure for fremsendelsen af e-mails.
Datatilsynets kommende praksis indeholder således et skærpet krav til private virksomheder, herunder særligt de virksomheder der i forvejen ikke har en e-mailløsning, der lever op til tilsynets krav.
LOU Advokatfirma anbefaler at den enkelte virksomhed i første omgang undersøger om der fremsendes de ovennævnte personoplysninger pr. e-mail. I bekræftende tilfælde vil virksomheden skulle finde en IT-leverandør, der tilbyder en e-mailløsning, der er den mest optimale for virksomheden.
Hvis du har spørgsmål til Datatilsynets nye praksis eller øvrige spørgsmål til databeskyttelseslovgivningen, kan du kontakte vores persondataretsafdeling, der står klar til at hjælpe.
Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.
22. august 2018