Datatilsynet stiller fra 1. januar 2019 større krav til private virksomheder, når de sender følsomme og fortrolige personoplysninger i en e-mail.

Datatilsynet har de sidste 10 år anbefalet, men ikke stillet som et egentligt krav, at private virksomheder anvender kryptering ved fremsendelse af fortrolige og følsomme personoplysninger med e-mail via internettet. Derimod har alle offentlige myndigheder siden år 2000 været forpligtet til at anvende kryptering.

Datatilsynet har dog i medfør af de nye regler i databeskyttelsesforordningen og som følge af den teknologiske udvikling siden 2008 besluttet at skærpe sin praksis for så vidt angår fremsendelse af fortrolige og følsomme personoplysninger med e-mail inden for den private sektor.

Datatilsynet har i en pressemeddelelse fra slutningen af juli måned meldt ud, at det fremadrettet vil være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige myndigheder og private virksomheder – at anvende kryptering ved fremsendelse af fortrolige og følsomme personoplysninger i en e-mail.

Med ”kryptering” menes, at der anvendes en sikker linje, når man sender en e-mail fra én e-mailkonto til en anden.

Den nye praksis rammer alene fremsendelse af følsomme og fortrolige personoplysninger via e-mail. Med fortrolige og følsomme personoplysninger menes eksempelvis helbredsoplysninger, oplysninger om strafbare forhold, cpr-numre og de mest private af de såkaldt almindelige personoplysninger, herunder oplysninger om særlige sociale eller familiemæssige forhold, økonomiske forhold og lignende. Reglen skal være med til at mindske risikoen for, at der sker læk af personoplysninger, som alt andet lige er større, når disse sendes i en ikke-krypteret e-mail.

Baggrunden for, at Datatilsynet først ændrer praksis fra den 1. januar 2019, er, at ændringen formentlig vil kræve en del tilpasninger i den private sektor, hvor det langt fra er alle virksomheder, som har mulighed for at sende krypterede e-mails.

Den ændrede praksis stiller således en række krav til private virksomheder, herunder særligt dem som ikke i forvejen benytter sig af en e-mail-løsning, som lever op til Datatilsynets krav. I første omgang er det derfor vigtigt for en virksomhed at tage stilling til, om denne har behov for at kunne sende følsomme eller fortrolige oplysninger pr. e-mail. Hvis det er tilfældet, skal virksomheden efterfølgende tage stilling til, hvilken e-mail-løsning der er den mest optimale for virksomheden.

Hvis du har spørgsmål til den nye praksis, eller hvordan din virksomhed skal forholde sig til de strammere krav fra Datatilsynet, står vi klar til at hjælpe.

Du kan læse Datatilsynets pressemeddelelse her

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du spørgsmål vedrørende de strammere krav til anvendelse af e-mail for private virksomheder?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.