Skærpet praksis for auto-complete
Datatilsynet skærper sin praksis over for brugen af auto-complete i e-mailklienter. Dataansvarlige, der i et systematisk omfang sender fortrolige eller følsomme personoplysninger via e-mail, skal fremover supplere organisatoriske tiltag med konkrete tekniske kontroller for at mindske risikoen for fejlafsendelser.
Auto-complete foreslår tidligere modtagere og øger risikoen for, at mails adresseres forkert. Når beskeder med personoplysninger havner hos uvedkommende, er der tale om et brud på persondatasikkerheden med potentielt alvorlige følger, fx for oplysninger om helbred, mindreårige og strafbare forhold. Datatilsynet har modtaget mange anmeldelser om denne type hændelser.
Forpligtelser og overgangsperiode
De dataansvarlige skal foretage en risikovurdering og implementere passende tekniske foranstaltninger, såsom deaktivering af auto-complete for risikofyldte funktioner, bekræftelsesdialog ved afsendelse, forsinket afsendelse eller andre kontroller, der reducerer fejlkilder. Hvor kun dele af organisationen håndterer sådanne oplysninger, kan tiltag målrettes disse enheder.
Praksisændringen afspejler kravene om ansvarlighed, indbygget databeskyttelse og behandlingssikkerhed i GDPR, herunder navnlig art. 24, 25 og 32, samt pligten til at anmelde brud til tilsynsmyndigheden efter art. 33. Der gælder en overgangsperiode til 1. marts 2024, hvor organisationer skal vurdere risiko og iværksætte de nødvendige foranstaltninger. Uddybende vejledning og eksempler på tiltag findes hos Datatilsynet: Auto-complete af e-mailadresser.
