IT-sikkerhed

[ OSS oversigt ] [ IT-sikkerhed ]

Kan personoplysninger sendes med e-post?

Hvis en organisation eller virksomhed ønsker at kommunikere med enkelt personer eller andre organisationer med e-post er det nødvendigt at fastsætte regler for e-post med personoplysninger i organisationens regler for anvendelse af e-post.

Når der sendes e-post med fortrolige eller følsomme personoplysninger, herunder cpr.nr., skal man sikre, at den ikke kan læses af uvedkommende. Det er derfor et krav at sådan e-post sendes krypteret. Det følger ikke umiddelbart af Persondataloven, at der også skal anvendes digital signatur, men det må vel anses for ’god databehandlingsskik’, at man ved brug af digital signatur sikrer at der ikke er tvivl om oplysningernes ægthed.

Når e-post med personoplysninger opbevares i mail-systemet har den dataansvarlige ansvar for at denne e-post ikke kan læses af uvedkommende. Adgang til mail-systemet skal derfor sikres med adgangskode, således at kun brugere der er autoriseret til at have adgang til pågældende postkasse kan læse e-posten. Det skal også sikres at e-posten ikke videresendes til uvedkommende – f.eks. fordi der er trængt en virus eller spyware ind på mail-systemet.

Da mail-systemer normalt ikke lever op til de generelle sikkerhedskrav om logning af brug bestemte data (f.eks. hvem der læst en mail) kan de ikke anvendes til arkivering af e-post med personoplysninger. Datatilsynet har udtalt, at e-post med personoplysninger skal slettes fra mail-systemet efter en kortere periode, der højest kan være på én måned. E-post skal slettes fra alle mapper – også papirkurv.

Selv om enkelt personer sender e-post til organisationen med fortrolige eller følsomme personoplysninger giver det ikke organisationen ret til at svare vedkommende med en ikke krypteret e-post brev.

Ved e-post kommunikation internt i organisationen i et lokal net, som der ikke er ekstern adgang til, stiller Datatilsynet ikke krav om at e-post skal krypteres.

Senest opdateret 11.04.2005

[ OSS oversigt ] [ IT-sikkerhed ]