Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet slår ned på brug af ”auto-complete” i mailprogrammer

TVC Advokatfirma
19/09/2023
Datatilsynet slår ned på brug af ”auto-complete” i mailprogrammer
TVC Advokatfirma logo
Datatilsynet oplever et stigende antal af indmeldte sikkerhedsbrud på persondatasikkerheden. En væsentlig del af bruddene sker grundet den såkaldte ”auto-complete” funktion, der er en standardindstilling i diverse mailprogrammer.

”Auto-complete” fører til datasikkerhedsbrud


I 2022 modtog Datatilsynet over 100 anmeldelser om brud på datasikkerheden, der alene var et udfald af brugen af ”auto-complete”. Som resultat heraf fastslår Datatilsynet nu, at der skal være en skærpet praksis for virksomheder og myndigheder, der anvender mailfunktionen i deres daglige arbejdsgang.


Når en medarbejder skal sende en e-mail, giver funktionen ”auto-complete” automatisk forslag til e-mailadresser, som medarbejderen kan sende mailen til. Disse forslag gives på baggrund af alle tidligere modtagere af sendte e-mails, som funktionen gemmer til senere automatisk udfyldelse.  


Selvom funktionen har til formål at effektivisere virksomheders og myndigheders arbejdsgange, er den i stedet skyld i, at der sker et øget antal fejlfremsendelser. Fejlfremsendelserne forekommer ved, at brugere fejlagtigt trykker på en e-mailadresse, der tilhører en privatperson, virksomhed eller myndighed, der ikke er den rette modtager af mailen.


Disse mails kan indeholde personfølsomme informationer om borgere, der som konsekvens af fejlfremsendelsen bliver udsat for, at deres følsomme oplysninger bliver delt til uvedkommende personer. Der kan eksempelvis være tale om fejlfremsendelse af borgers CPR-numre, seksuelle orientering eller helbredsoplysninger.


Det er et alvorligt brud på persondatasikkerheden, at uvedkommende personer kommer i besiddelse af andre personers følsomme oplysninger. Datatilsynet mener, at denne type af sikkerhedsbrud kan undgås ved den skærpede praksis om brugen af ”auto-complete”.


Den skærpede praksis

Den hidtil gældende praksis har opfordret dataansvarlige til at overveje implementering af foranstaltninger af teknisk og/eller organisatorisk karakter, der kan reducere risikoen for sikkerhedsbrud ved brug af ”auto-complete”.


Datatilsynet erstatter nu denne opfordring med en pligt til at indføre sikkerhedsforanstaltninger, der skal hindre fejlfremsendelser. Tilsynet understreger, at det ikke er tilstrækkeligt at indføre organisatoriske foranstaltninger, såsom fokus på awareness blandt medarbejdere. Det vil sige, at dataansvarlige ligeledes forpligtes til at indføre en eller flere tekniske foranstaltninger, der mindsker tilfælde af fejlfremsendelser.


Forpligtelsen til at indføre organisatoriske og tekniske foranstaltninger, påhviler alle dataansvarlige, ”der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger”. Datatilsynet bemærker, at forpligtelsen kan være begrænset til dele af den dataansvarliges organisation, afhængig af den konkrete behandling af personoplysninger.


Der er indført en gældende overgangsperiode indtil den 1. marts 2024. Forinden udgangen af overgangsperioden, skal dataansvarlige foretage en risikovurdering af deres organisations brug af ”auto-complete”, samt indføre passende foranstaltninger, der imødekommer den konkrete sikkerhedsrisiko.


Er din virksomhed omfattet af den skærpede praksis?

Dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger, indebærer blandt andet kommunalmedarbejdere der behandler personoplysninger i store mængder, og som lejlighedsvis korresponderer med borgere gennem mail i stedet for e-Boks. Et andet eksempel er forsikringsmedarbejdere, der indsamler helbredsoplysninger til tegning af livsforsikringer af forsikringskunder.


Behandling af følsomme personoplysninger i en virksomhed, der derimod hverken internt eller eksternt anvender mailprogrammer i deres daglige arbejdsgang, er ikke omfattet af den skærpede praksis.


Det kan være svært for virksomheder at vurdere, om de skal foretage ændringer i overensstemmelse med den skærpede praksis – og hvad de ændringer i så fald skal være. Har du spørgsmål om den skærpede praksis, valg af foranstaltning eller andet, kan du kontakte vores advokat Mads Balle Christensen.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Træning af kunstig intelligens
Træning af kunstig intelligens
03/04/2024
Persondata, Immaterialret
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
26/04/2024
Persondata, Immaterialret, Øvrige
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
06/05/2024
Persondata, Forsikring og erstatning
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted