Skærpet praksis for auto-complete i e-mails
Pr. 1. marts 2024 har Datatilsynet skærpet sin praksis for brugen af autofuldførelse i e-mailklienter. Dataansvarlige, der i et vist systematisk omfang sender fortrolige eller følsomme personoplysninger via e-mail, kan ikke længere nøjes med organisatoriske tiltag som retningslinjer og awareness. Der skal også indføres en eller flere tekniske foranstaltninger, der effektivt mindsker risikoen for fejlforsendelser forårsaget af autofuldførelse. Praksis hviler på GDPR’s krav om passende sikkerhed i art 32 og princippet om integritet og fortrolighed i art 5 samt erfaringer med, at misvalg af modtager er en hyppig fejlkilde.
Autofuldførelse lagrer tidligere kontakter og foreslår dem, når en afsender begynder at indtaste en adresse. Denne bekvemmelighed øger risikoen for, at en mail med personoplysninger havner hos en uvedkommende modtager. Datatilsynet modtager løbende anmeldelser om sådanne hændelser, og antallet har været betydeligt. Tilsynet præciserer samtidig, at tekniske foranstaltninger kan afgrænses til de enheder, der faktisk håndterer fortrolige eller følsomme oplysninger via e-mail.
Hvem er omfattet
Praksis retter sig mod myndigheder og virksomheder, hvor e-mail regelmæssigt anvendes til at sende fortrolige eller følsomme personoplysninger. Eksempler er kommunale børne- og ungeafdelinger, der koordinerer sager via mail, og forsikringsselskaber, der udveksler policer og helbredsoplysninger med kunder. I sådanne miljøer er fejlvælg af modtager via autofuldførelse en realistisk og tilbagevendende risiko i den daglige drift.
Omvendt omfattes organisationer, der enten slet ikke sender fortrolige eller følsomme oplysninger pr. mail eller konsekvent anvender interne systemer eller sikre kanaler som eBoks til denne kommunikation, som udgangspunkt ikke. Bemærk dog, at en enkelt funktion, eksempelvis HR, kan udløse krav for netop den del af organisationen, hvis e-mail bruges systematisk til behandling af sådanne oplysninger.
Konsekvenser og anbefalinger
Den skærpede praksis ændrer bundlinjen for efterlevelse: awareness og retningslinjer er nødvendige, men utilstrækkelige alene, når e-mail anvendes systematisk til følsomt indhold. Dataansvarlige bør foretage en målrettet risikovurdering af fejlforsendelser og implementere proportionale tekniske kontroller. Deaktivering af autofuldførelse er et nærliggende valg, hvor andre kontroller ikke kan opnå et tilsvarende sikkerhedsniveau.
Supplerende tiltag kan omfatte begrænsning af autofuldførelse til godkendte kontaktlister, tydelig visning af hele e-mailadresser, bekræftelsesdialog ved afsendelse til nye eller eksterne modtagere samt kryptering ved transmission. Uanset valg skal løsningerne understøtte GDPR art 32 og princippet om integritet og fortrolighed i art 5. Ved fejlforsendelser skal hændelsen vurderes og om nødvendigt anmeldes til Datatilsynet efter art 33, herunder med dokumentation for årsag, konsekvenser og afbødende foranstaltninger.
