Sådan sender du mail med GDPR-indhold

Ifølge GDPR er I ansvarlig for at beskytte folks persondata. Dette indlæg omhandler e-mailsikkerhed og hvordan man beskytter personoplysninger, når man mailer. I får en tjekliste til hvad man skal huske, når man skal sende mails i overenstemmelse med datareglerne, så I kan få en sikker GDPR mail.

Mail af persondata

E-mail og persondata er to vigtige aspekter af vores moderne digitale arbejdsliv. E-mail tillader os at kommunikere og udveksle information via internettet effektivt. E-mails kan indeholde personlige oplysninger, såsom navne, kontaktoplysninger og endda fortrolige oplysninger som kreditkortoplysninger eller adgangskoder. Det er derfor vigtigt at være opmærksom på sikkerhedsforanstaltninger for at beskytte persondata, når man bruger e-mail. Persondata refererer til enhver information, der kan identificere en person direkte eller indirekte. Dette kan omfatte navne, adresser, telefonnumre, fødselsdatoer, e-mailadresser og meget mere.

Mail er desværre også en service, hvor der er stor risiko for, at persondata – enten tilsigtet eller utilsigtet – ender i hænderne på uvedkommende. For at beskytte persondata når man bruger e-mail er der nogle vigtige skridt, man kan følge.

Tjekliste til at få en sikker GDPR mail

Mail er stadig er den mest almindelige måde for medarbejdere at kommunikere med kunder, leverandører, partnere og hinanden på. At forbedre jeres medarbejderes mail-praksis er en central del af at overholde international dataregulering som eks. GDPR.

Sørg for at I opfylder følgende 4 punkter:

1. Få en god praksis for at sende og modtage data i mails
Sikkerhedsbrud i jeres mailsystem kan enten skyldes en bevidst handling eller et uheld. Et utilsigtet sikkerhedsbrud opstår, når nogen, for eksempel:

• sender en mail til den forkerte person
• vedhæfter det forkerte dokument til en e-mail
• bruger CC-feltet i stedet for BCC-feltet
• videresender en e-mail-tråd, som de ikke er klar over, indeholder personlige oplysninger i meddelelsesteksten eller vedhæftede filer

Forsætlige sikkerhedsbrud på e-mail kan skyldes, hvis:

• I sender eller accepterer personlige data med almindelig post uden kryptering
• en medarbejder genbruger jeres e-mails og andre personlige data på et nyt job
• nogen lækker personlige data for økonomisk vinding eller for at skade jeres virksomhed

Etablering af solide, men nemme processer for mail-praksis i hele jeres virksomhed kan øge bevidstheden om databeskyttelse og forhindre databrud.

2. Beskytter data i stilstand og transport
Som nævnt kræver GDPR og international dataforordninger, at man bruger de rette, tekniske foranstaltninger for at forhindre sikkerhedsbrud og tab af data. Derfor bør jeres email-sikkerhed omfatte:

• Kryptering – for at data ender hos den rigtige modtager
• Multifaktor-godkendelse – for at bekræfte modtagerens identitet
• Adgangsbegrænsning – for at beskytte data i hvile
• Transport Layer Security (TLS) – for at holde data sikre under transport
• Opbevaringbegrænsning – for at minimere jeres ansvarsrisiko

3. Får samtykke, før I accepterer de data, I anmoder om via e-mail
Reglerne kræver, at I har et lovligt grundlag for at indsamle data. I de fleste tilfælde bør dette være i form af et samtykke fra dataejeren/den registrerede. Det samtykke, I indhenter, før I accepterer deres data via e-mail, bør være:

• Informeret. Let at læse og forstå for den registrerede.
• Frivilligt. Frit givet af den registrerede.
• Eksplicit. En entydig angivelse af den registreredes ønsker.

4. Dokumenterer compliance ved at notere hver deling og anmodning
I bør føre et register for at demonstrere, at I beskytter de personlige data, I råder over. Registret skal kunne vise:

• en log over de personlige oplysninger, I har delt og indsamlet
• hvor længe I opbevarer personlige data
• en kopi af de samtykker, I indhenter