Datatilsynet slår ned på brug af ”auto-complete” i mailprogrammer

”Auto-complete” fører til datasikkerhedsbrud

I 2022 modtog Datatilsynet over 100 anmeldelser om brud på datasikkerheden, der alene var et udfald af brugen af ”auto-complete”. Som resultat heraf fastslår Datatilsynet nu, at der skal være en skærpet praksis for virksomheder og myndigheder, der anvender mailfunktionen i deres daglige arbejdsgang.

Når en medarbejder skal sende en e-mail, giver funktionen ”auto-complete” automatisk forslag til e-mailadresser, som medarbejderen kan sende mailen til. Disse forslag gives på baggrund af alle tidligere modtagere af sendte e-mails, som funktionen gemmer til senere automatisk udfyldelse.  

Selvom funktionen har til formål at effektivisere virksomheders og myndigheders arbejdsgange, er den i stedet skyld i, at der sker et øget antal fejlfremsendelser. Fejlfremsendelserne forekommer ved, at brugere fejlagtigt trykker på en e-mailadresse, der tilhører en privatperson, virksomhed eller myndighed, der ikke er den rette modtager af mailen.

Disse mails kan indeholde personfølsomme informationer om borgere, der som konsekvens af fejlfremsendelsen bliver udsat for, at deres følsomme oplysninger bliver delt til uvedkommende personer. Der kan eksempelvis være tale om fejlfremsendelse af borgers CPR-numre, seksuelle orientering eller helbredsoplysninger.

Det er et alvorligt brud på persondatasikkerheden, at uvedkommende personer kommer i besiddelse af andre personers følsomme oplysninger. Datatilsynet mener, at denne type af sikkerhedsbrud kan undgås ved den skærpede praksis om brugen af ”auto-complete”.

Den skærpede praksis

Den hidtil gældende praksis har opfordret dataansvarlige til at overveje implementering af foranstaltninger af teknisk og/eller organisatorisk karakter, der kan reducere risikoen for sikkerhedsbrud ved brug af ”auto-complete”.

Datatilsynet erstatter nu denne opfordring med en pligt til at indføre sikkerhedsforanstaltninger, der skal hindre fejlfremsendelser. Tilsynet understreger, at det ikke er tilstrækkeligt at indføre organisatoriske foranstaltninger, såsom fokus på awareness blandt medarbejdere. Det vil sige, at dataansvarlige ligeledes forpligtes til at indføre en eller flere tekniske foranstaltninger, der mindsker tilfælde af fejlfremsendelser.

Forpligtelsen til at indføre organisatoriske og tekniske foranstaltninger, påhviler alle dataansvarlige, ”der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger”. Datatilsynet bemærker, at forpligtelsen kan være begrænset til dele af den dataansvarliges organisation, afhængig af den konkrete behandling af personoplysninger.

Der er indført en gældende overgangsperiode indtil den 1. marts 2024. Forinden udgangen af overgangsperioden, skal dataansvarlige foretage en risikovurdering af deres organisations brug af ”auto-complete”, samt indføre passende foranstaltninger, der imødekommer den konkrete sikkerhedsrisiko.

Er din virksomhed omfattet af den skærpede praksis?

Dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger, indebærer blandt andet kommunalmedarbejdere der behandler personoplysninger i store mængder, og som lejlighedsvis korresponderer med borgere gennem mail i stedet for e-Boks. Et andet eksempel er forsikringsmedarbejdere, der indsamler helbredsoplysninger til tegning af livsforsikringer af forsikringskunder.

Behandling af følsomme personoplysninger i en virksomhed, der derimod hverken internt eller eksternt anvender mailprogrammer i deres daglige arbejdsgang, er ikke omfattet af den skærpede praksis.

Det kan være svært for virksomheder at vurdere, om de skal foretage ændringer i overensstemmelse med den skærpede praksis – og hvad de ændringer i så fald skal være. Har du spørgsmål om den skærpede praksis, valg af foranstaltning eller andet, kan du kontakte vores advokat Mads Balle Christensen.