GDPR og mail
Ifølge GDPR er I ansvarlig for at beskytte folks persondata. Dette indlæg omhandler e-mailsikkerhed og hvordan man beskytter personoplysninger, når man mailer. I får en tjekliste til hvad man skal huske, når man skal sende mails i overenstemmelse med datareglerne, så I kan få en sikker GDPR mail.
Mail af persondata
E-mail og persondata er to vigtige aspekter af vores moderne digitale arbejdsliv. E-mail tillader os at kommunikere og udveksle information via internettet effektivt. E-mails kan indeholde personlige oplysninger, såsom navne, kontaktoplysninger og endda fortrolige oplysninger som kreditkortoplysninger eller adgangskoder. Det er derfor vigtigt at være opmærksom på sikkerhedsforanstaltninger for at beskytte persondata, når man bruger e-mail. Persondata refererer til enhver information, der kan identificere en person direkte eller indirekte. Dette kan omfatte navne, adresser, telefonnumre, fødselsdatoer, e-mailadresser og meget mere.
Mail er desværre også en service, hvor der er stor risiko for, at persondata – enten tilsigtet eller utilsigtet – ender i hænderne på uvedkommende. For at beskytte persondata når man bruger e-mail er der nogle vigtige skridt, man kan følge.
Vil I have GDPR-ryddet op i jeres mails?
Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.
Tjekliste til at få en sikker GDPR mail
Mail er stadig er den mest almindelige måde for medarbejdere at kommunikere med kunder, leverandører, partnere og hinanden på. At forbedre jeres medarbejderes mail-praksis er en central del af at overholde international dataregulering som eks. GDPR.
Sørg for at I opfylder følgende 4 punkter:
1. Få en god praksis for at sende og modtage data i mails
Sikkerhedsbrud i jeres mailsystem kan enten skyldes en bevidst handling eller et uheld. Et utilsigtet sikkerhedsbrud opstår, når nogen, for eksempel:
- sender en mail til den forkerte person
- vedhæfter det forkerte dokument til en e-mail
- bruger CC-feltet i stedet for BCC-feltet
- videresender en e-mail-tråd, som de ikke er klar over, indeholder personlige oplysninger i meddelelsesteksten eller vedhæftede filer
Forsætlige sikkerhedsbrud på e-mail kan skyldes, hvis:
- I sender eller accepterer personlige data med almindelig post uden kryptering
- en medarbejder genbruger jeres e-mails og andre personlige data på et nyt job
- nogen lækker personlige data for økonomisk vinding eller for at skade jeres virksomhed
Etablering af solide, men nemme processer for mail-praksis i hele jeres virksomhed kan øge bevidstheden om databeskyttelse og forhindre databrud.
2. Beskytter data i stilstand og transport
Som nævnt kræver GDPR og international dataforordninger, at man bruger de rette, tekniske foranstaltninger for at forhindre sikkerhedsbrud og tab af data. Derfor bør jeres email-sikkerhed omfatte:
- Kryptering – for at data ender hos den rigtige modtager
- Multifaktor-godkendelse – for at bekræfte modtagerens identitet
- Adgangsbegrænsning – for at beskytte data i hvile
- Transport Layer Security (TLS) – for at holde data sikre under transport
- Opbevaringbegrænsning – for at minimere jeres ansvarsrisiko
3. Får samtykke, før I accepterer de data, I anmoder om via e-mail
Reglerne kræver, at I har et lovligt grundlag for at indsamle data. I de fleste tilfælde bør dette være i form af et samtykke fra dataejeren/den registrerede. Det samtykke, I indhenter, før I accepterer deres data via e-mail, bør være:
- Informeret. Let at læse og forstå for den registrerede.
- Frivilligt. Frit givet af den registrerede.
- Eksplicit. En entydig angivelse af den registreredes ønsker.
4. Dokumenterer compliance ved at notere hver deling og anmodning
I bør føre et register for at demonstrere, at I beskytter de personlige data, I råder over. Registret skal kunne vise:
- en log over de personlige oplysninger, I har delt og indsamlet
- hvor længe I opbevarer personlige data
- en kopi af de samtykker, I indhenter
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Den bedste software til at sende GDPR-indhold
Overordnet set er der tre muligheder, når det gælder en sikker praksis til jeres email-system:
- Certifikatbaserede løsninger. Dette kræver en lokal installation hos både afsender og modtager.
- Tunnelpost. Et dansk koncept, med en sikker tunnel etableret mellem to virksomheder. Det kræver også installation hos både afsender og modtager, og det kan ikke nå forbrugerne.
- En sikker email-portal. Det er den løsning, vi anbefaler. Det kræver ikke certifikater eller speciel installation.
Den bedste løsning til email-sikkerhed er den, jeres medarbejdere vil bruge hver gang de deler eller indsamler personlige data. Løsningen skal fungere, uanset om I befinder jer på kontoret, på farten eller eksternt. Det skal være hurtigt og nemt at bruge til alle typer filer (inklusive store filer). Endelig skal løsningen være intuitiv at bruge, så jeres medarbejdere ikke bliver fristet til at omgå det for at spare tid.
Sådan kan vi hjælpe jer til at sende mail med GDPR-indhold
Vores løsning, ShareSimple, er en email-portal, som gør det sikkert at dele filer via Outlook. Med ShareSimple kan du have fuld tillid til, at dine filer er beskyttet med kryptering, multifaktor-godkendelse, adgangsbegrænsning osv. når du sender mails.
Sebastian Allerelli
Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
