Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet slår ned på brug af ”auto-complete” i mailprogrammer

TVC Advokatfirma
19/09/2023
Datatilsynet slår ned på brug af ”auto-complete” i mailprogrammer
TVC Advokatfirma logo
Datatilsynet oplever et stigende antal af indmeldte sikkerhedsbrud på persondatasikkerheden. En væsentlig del af bruddene sker grundet den såkaldte ”auto-complete” funktion, der er en standardindstilling i diverse mailprogrammer.

”Auto-complete” fører til datasikkerhedsbrud


I 2022 modtog Datatilsynet over 100 anmeldelser om brud på datasikkerheden, der alene var et udfald af brugen af ”auto-complete”. Som resultat heraf fastslår Datatilsynet nu, at der skal være en skærpet praksis for virksomheder og myndigheder, der anvender mailfunktionen i deres daglige arbejdsgang.


Når en medarbejder skal sende en e-mail, giver funktionen ”auto-complete” automatisk forslag til e-mailadresser, som medarbejderen kan sende mailen til. Disse forslag gives på baggrund af alle tidligere modtagere af sendte e-mails, som funktionen gemmer til senere automatisk udfyldelse.  


Selvom funktionen har til formål at effektivisere virksomheders og myndigheders arbejdsgange, er den i stedet skyld i, at der sker et øget antal fejlfremsendelser. Fejlfremsendelserne forekommer ved, at brugere fejlagtigt trykker på en e-mailadresse, der tilhører en privatperson, virksomhed eller myndighed, der ikke er den rette modtager af mailen.


Disse mails kan indeholde personfølsomme informationer om borgere, der som konsekvens af fejlfremsendelsen bliver udsat for, at deres følsomme oplysninger bliver delt til uvedkommende personer. Der kan eksempelvis være tale om fejlfremsendelse af borgers CPR-numre, seksuelle orientering eller helbredsoplysninger.


Det er et alvorligt brud på persondatasikkerheden, at uvedkommende personer kommer i besiddelse af andre personers følsomme oplysninger. Datatilsynet mener, at denne type af sikkerhedsbrud kan undgås ved den skærpede praksis om brugen af ”auto-complete”.


Den skærpede praksis

Den hidtil gældende praksis har opfordret dataansvarlige til at overveje implementering af foranstaltninger af teknisk og/eller organisatorisk karakter, der kan reducere risikoen for sikkerhedsbrud ved brug af ”auto-complete”.


Datatilsynet erstatter nu denne opfordring med en pligt til at indføre sikkerhedsforanstaltninger, der skal hindre fejlfremsendelser. Tilsynet understreger, at det ikke er tilstrækkeligt at indføre organisatoriske foranstaltninger, såsom fokus på awareness blandt medarbejdere. Det vil sige, at dataansvarlige ligeledes forpligtes til at indføre en eller flere tekniske foranstaltninger, der mindsker tilfælde af fejlfremsendelser.


Forpligtelsen til at indføre organisatoriske og tekniske foranstaltninger, påhviler alle dataansvarlige, ”der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger”. Datatilsynet bemærker, at forpligtelsen kan være begrænset til dele af den dataansvarliges organisation, afhængig af den konkrete behandling af personoplysninger.


Der er indført en gældende overgangsperiode indtil den 1. marts 2024. Forinden udgangen af overgangsperioden, skal dataansvarlige foretage en risikovurdering af deres organisations brug af ”auto-complete”, samt indføre passende foranstaltninger, der imødekommer den konkrete sikkerhedsrisiko.


Er din virksomhed omfattet af den skærpede praksis?

Dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger, indebærer blandt andet kommunalmedarbejdere der behandler personoplysninger i store mængder, og som lejlighedsvis korresponderer med borgere gennem mail i stedet for e-Boks. Et andet eksempel er forsikringsmedarbejdere, der indsamler helbredsoplysninger til tegning af livsforsikringer af forsikringskunder.


Behandling af følsomme personoplysninger i en virksomhed, der derimod hverken internt eller eksternt anvender mailprogrammer i deres daglige arbejdsgang, er ikke omfattet af den skærpede praksis.


Det kan være svært for virksomheder at vurdere, om de skal foretage ændringer i overensstemmelse med den skærpede praksis – og hvad de ændringer i så fald skal være. Har du spørgsmål om den skærpede praksis, valg af foranstaltning eller andet, kan du kontakte vores advokat Mads Balle Christensen.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
TVC Advokatfirma logo
Aarhus
Søren Frichs Vej 42A
8230 Åbyhøj
70 11 08 01
tvc@tvc.dk
København
Nimbusparken 24, 2
2000 Frederiksberg
Roskilde
Københavnsvej 69, 1
4000 Roskilde
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted