Det er blevet annonceret, at Datatilsynet skærper deres praksis vedrørende anvendelsen af autofuldførelse i mailprogrammer, som eksempelvis Outlook og Gmail. Ændringen træder i kraft fra den 1. marts 2024, og har til formål at minimere risikoen for utilsigtet lækage af personoplysninger.
Hvilken betydning har skærpelsen for dig og din virksomhed?
Rigtig mange anvender autofuldførelse, når man sender e-mails. Denne funktion er designet til at gøre det nemmere og hurtigere at udfylde modtagerfeltet i en e-mail ved at foreslå mulige e-mailadresser baseret på tidligere indtastninger. Desværre kan denne funktion også medføre utilsigtede fejl, hvor e-mails sendes til forkerte modtagere.
Datatilsynet har modtaget over 100 brud på datasikkerheden alene i 2022. De mener, der er tale om en ”lavthængende frugt”, hvorfor de har varslet en ændring, som skærper praksis for brugen af autofuldførelse.
I forbindelse med sådanne forsendelsesfejl har Datatilsynet hidtil udtalt, at de dataansvarlige skal overveje at indføre tekniske og/eller organisatoriske foranstaltninger. De dataansvarlige har dog primært alene indført organisatoriske ændringer. såsom øget opmærksomhed, undervisning etc.
Fremadrettet vil Datatilsynet kræve, at der tillige skal indføres tekniske foranstaltninger, man i et vist systematiske omfang bruger e-mails til at sende fortrolige og/eller følsomme oplysninger.
Hvad betyder ændringen?
Hvis man regelmæssigt har behov for at kryptere sine mails fordi de indeholder fortrolige eller følsomme oplysninger, så skal man forholde sig til Datatilsynets praksisændring.
Vores advokat med fagspeciale i GDPR, Henrik Norup, giver nedenfor en række råd til, hvad man kan gøre for at overholde den nye skærpelse.
- Slå autofuldførelse fra
Bed jeres IT-administrator om at fjerne muligheden for at anvende autofuldførelse i jeres mailprogram. Så har man da hvert fald indført en teknisk foranstaltning. Dog kan man frygte, at manuelle indtastninger vil føre til flere brud på datasikkerheden end ”autofuldførelse. - Hyppig sletning af gemte e-mailadresser
Ved jævnligt at fjerne lageret af gemte e-mailadresser øges sandsynligheden for, at man rammer den rette, og ikke en person man tidligere har kommunikeret med. - Forsinket afsendelse eller ekstra kontrol af modtagere
Sådanne tiltag er også ganske gode. Man bør dog overveje om det bare resulterer i en ”blind” godkendelse, og et ekstra klik uden nogen reel kontrol over modtageren. - Brug eksisterende kilde i stedet for indtastning af e-mailadresse
Hvis man har et CRM-system eller tilsvarende, hvor man allerede har registreret og bekræfte den rette e-mail, så giver det rigtig god mening, at mailadressen kopieres fra systemet. Derved undgår man risiko for fejlindtastning.
Herudover anbefales det, at man sideløbende med de tekniske foranstaltninger også fortsætter med de organisatoriske foranstaltninger, herunder brugertræning, adfærdsændringer, nye vaner etc.
Sanktioner
Når Datatilsynet vælger at melde så forholdsvist klart ud, og endda giver virksomhederne en overgangsperiode på et halvt år til at gennemgå deres processer og politikker, så må det også forventes, at sanktionsniveauet stiger betragteligt.
Hvorvidt overtrædelse vil medføre bødeforlæg afhænger af den konkrete sag, herunder især hvilke overvejelser virksomheden har gjort sig i den interne risikovurdering.
Anbefaling
Vi anbefaler derfor, at man forholder sig til Datatilsynets varsling og at man genbesøger sine risikovurderinger, opdaterer sine politikker og overvejer at indføre yderligere tiltag.
Hvis du har spørgsmål til artiklen eller behov for rådgivning om databeskyttelse, er du velkommen til at rette henvendelse til advokat Henrik Norup og høre hvordan vi kan hjælpe jer med at overholde de nye krav fra Datatilsynet.
