Skærpet praksis for auto-complete
Datatilsynet har konstateret et markant antal sikkerhedsbrud forårsaget af e-mailens auto-complete og indfører nu en bindende pligt for dataansvarlige, der systematisk sender fortrolige eller følsomme oplysninger via e-mail. Anbefalinger erstattes af krav om passende foranstaltninger.
Det er ikke tilstrækkeligt alene at arbejde med awareness og instrukser. Der skal indføres en eller flere tekniske kontroller, der mindsker risikoen for fejlfremsendelser, hvor e-mails utilsigtet sendes til forkerte modtagere. Baggrunden er, at sådanne fejl kan eksponere CPR-numre, helbredsoplysninger eller oplysninger om seksuel orientering for uvedkommende.
Omfang og overgangsperiode
Kravet gælder dataansvarlige, der i et vist systematisk omfang anvender e-mail til at formidle fortrolige eller følsomme data. Forpligtelsen kan afgrænses til relevante organisatoriske enheder afhængigt af den konkrete behandling. Organisationer, der ikke anvender e-mail til sådanne formål, er ikke omfattet.
Der er en overgangsperiode til 1. marts 2024. Inden da skal den dataansvarlige gennemføre en risikovurdering af auto-complete i organisationens mailbrug og implementere passende organisatoriske og tekniske foranstaltninger, der adresserer den identificerede risiko. De almindelige pligter om sikkerhed og anmeldelse af brud efter GDPR består uændret.
