Følsomme oplysninger hører ikke hjemme i en SMS - samt andre afgørelser og udtalelser fra Datatilsynet
SMS velegnet til påmindelser og kortere servicebeskeder
I sin vejledende tekst slår Datatilsynet i udgangspunktet fast, at SMS typisk ikke er tilstrækkelig sikker til at transmittere følsomme oplysninger. Desuden fraråder tilsynet brugen af SMS-response, f.eks. send ”ja” til 1234. Derimod mener Datatilsynet, at SMS er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på, og i teksten gives eksempler på påmindelser.
Datatilsynet gør opmærksom på, at det generelle princip om risikobaseret tilgang også gælder, når man kommunikerer via SMS. Det betyder i praksis, at det er op til den dataansvarlige at sørge for et passende sikkerhedsniveau, herunder især være opmærksom på princippet om dataminimering.
Fortrolige oplysninger kan i visse tilfælde sendes uden brug af specielle krypteringsprogrammer og nøgler – hvis du kan påvise, at det er sikkert nok
Datatilsynet har behandlet en klage over inkassofirmaet Lowell Danmark A/S. Klageren hævdede, at Lowell Danmark A/S havde sendt opgørelser over skyldige restancer via en ukrypteret forbindelse. Lowell Danmark A/S har forklaret til Datatilsynet, at afsendelsen af e-mails var i overensstemmelse med den risikovurdering, man havde foretaget. I den risikovurdering indgår bl.a., at modtagere af den type e-mails pseudonymiseres og således kun kan identificeres med et sagsnummer, samt at e-mails sendes krypteret ved brug af ”opportunistisk” TLS (Transport Layer Security). Opportunistisk vil sige, at e-mailen transmitteres krypteret, hvis modtagerens server understøtter TLS, hvilket var tilfældet med den konkrete klager. Mange e-mailsystemer understøtter TLS. Det sker automatisk og uden, at afsender og modtager gøres opmærksom på det.
Datatilsynet har afvist klagen og konkluderer: ” Afgørelsen skal ses som et konkret begrundet eksempel på, at en dataansvarlig kan anvende en opportunistisk TLS 1.2-kryptering (….), når der fremsendes fortrolige oplysninger over internettet, hvis den dataansvarlige ud fra en risikovurdering korrekt har vurderet, at en sådan opsætning udgør en passende sikkerhedsforanstaltning”. Læs hele afgørelsen her. Afgørelsen er en nyttig konkretisering af Datatilsynets udtalelse om ”Transmission af personoplysninger via e-mail”, omtalt som ikke indeholdt eksempler på, hvad Datatilsynet vurderer er tilstrækkelig kryptering i forskellige situationer.
Brug ikke medarbejdernes fingeraftryk til tidsregistrering
Fingeraftryk er en type biometrisk data, som i GDPR defineres som en følsom oplysning. Det vil sige, at man som udgangspunkt slet ikke må behandle fingeraftryk, men mindre man har en tungtvejende juridisk grund til at gøre det.
Efter henvendelse fra en advokat har Datatilsynet vurderet, at arbejdsgivers ønske om at tidsregistrere/kontrollere hvor lang tid, den enkelte medarbejder er på arbejdspladsen ved hjælp af fingeraftryk, ikke er en tilstrækkeligt tungtvejende grund til at dispensere for det generelle forbud om at behandle følsomme oplysninger. Datatilsynet argumenterer bl.a., at der er andre og mindre indgribende måder at tidsregistrere på.
Læs mere her.
Læs nyhedsbrevet ”Datatilsynet behandler klager fra borgere og løfter sløret for planlagte tilsyn i 2. halvår 2019”.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.