Datatilsynet skærper praksis for brug af e-mail funktion

Flere e-mail-programmer har en standardindstilling, der gemmer navn og e-mail, som man tidligere har sendt e-mails til. Herefter vil navnet og e-mailen automatisk fremgå, hvis man f.eks. søger på de pågældende bogstaver, som e-mailen starter med. Det gør, at personen der skal sende e-mails, let kan fremfinde de relevante personer.

Datatilsynet konstaterede over 100 brud på persondatasikkerheden i 2022, der er sket på grund af funktionen ’’autocomplete’’. Bruddene er sket, fordi funktionen kan føre til, at brugeren sender en e-mail til den forkerte modtager. Man kan eksempelvis have skrevet e-mails til mange med navnet ’Susanne’ og får ikke altid valgt den rigtige.

Det kan have store konsekvenser for den person, hvis data uretmæssigt bliver videregivet til en forkert modtager, f.eks. hvis e-mailen indeholdt  CPR-nummer (fortrolig oplysning) eller oplysninger om fysisk eller psykisk helbred (følsomme oplysninger).

Det er Datatilsynets opfattelse, at virksomheder og offentlige myndigheder, der bruger funktionen ’’autocomplete’’  - og i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme personoplysninger - fremadrettet skal gennemføre flere tekniske sikkerhedsforanstaltninger.

Tekniske sikkerhedsforanstaltninger kan f.eks. være funktioner, der kræver, at afsenderen af e-mailen aktivt skal acceptere, at mailen sendes til en modtager uden for afsenderens virksomhed. Det vil sige, at afsenderen både skal trykke ’send’ og ’accepter’, når e-mailen sendes til en person uden for virksomheden.

Dermed vil det ikke være aktuelt for alle afdelinger i en virksomhed at forholde sig til Datatilsynets skærpede praksis. Ofte vil det være relevant for virksomhedens HR-afdeling eller afdelinger/virksomheder, der i kraft af deres virke behandler mange følsomme eller fortrolige oplysninger, f.eks. medicinalvirksomheder, revisorer eller nogle advokater.