Ny personvernforordning:

GDPR – risiko ved å sende personopplysninger på e-post

Mann som står med nettbrett ved et skap med dataservere.

GDPR - Den nye personvernforordningen - omfatter også innhold i eposter. Foto: iStock

Skrevet av:

Publisert:

4. juli 2018

I noen sammenhenger kan bedriften ha behov for å sende eller overføre personopplysninger til andre aktører. Oversendelse av personopplysninger er i seg selv en «behandling» som krever et lovlig behandlingsgrunnlag etter GDPR.

Et eksempel kan være at et interkommunalt renovasjonsselskap sender en oversikt over personer som ikke har betalt renovasjonsgebyr til kommunen, fordi det er eierkommunene som krever inn gebyrene. Oversendelsen vil da trolig ha et lovlig formål og behandlingsgrunnlag.

Spørsmålet er hvordan bedriften sender personopplysningene på en mest mulig sikker måte og i samsvar med personvernreglene.

Datatilsynet er ikke positive til å sende personopplysninger over e-post, og spesielt ikke fødselsnummer (11 siffer). Dette fordi e-post er en «åpen» løsning og faren for feilsendelse i tillegg er stor.

Det man i det minste må gjøre ved slike utsendelser er å legge personopplysningene i vedlegg, og kryptere vedlegget som oversendes. Dette skal være mulig ved å passordbeskytte dokumentet eller regnearket.

Fortsatt må man likevel være oppmerksom på faren for feilsendelse og at passord/koder kan knekkes, slik at personopplysningene kan komme på avveie.

Alternativet kan være å sende personopplysningene med vanlig post, og der er det ingen bestemte regler (foruten for enkelte helseopplysninger).

Hvis det er mulig å anonymisere personopplysningene til saksnummer eller ved oversendelse per e-post eller post, så kan dette bidra til at risikoen for brudd på personvernet blir redusert.