I mange e-mailprogrammer er det en standardindstilling, at funktionen ”auto-complete” er slået til. Funktionen fungerer ved, at e-mailprogrammerne gemmer navne og e-mailadresser på modtagere af e-mails, som en bruger tidligere har sendt en e-mail til. På baggrund heraf oplistes automatisk forslag til modtagere, når brugeren en anden gang begynder at skrive i e-mailfelterne Til, Cc og Bcc. Brugeren kan herefter let vælge modtager ved et enkelt klik på det for udfyldte navn i stedet for at skulle indtaste hele modtagerens/modtagernes e-mailadresse(r).

Kan have store konsekvenser

Anvendelse af funktionen ”auto-complete” fører imidlertid i nogle tilfælde til, at brugerne kommer til at vælge en forkert modtager med den følge, at e-mailen bliver sendt til uvedkommende. Hvis e-mailen indeholder personoplysninger, vil der herved være sket et brud på persondatasikkerheden.

- Vi ser desværre ofte, at man med funktionen "auto-complete" kommer til at sende mails til nogen, der ikke skulle have haft dem. Det kan have store konsekvenser, hvis eksempelvis borgernes, kundernes eller medarbejdernes oplysninger kommer i de forkerte hænder, forklarer Ditte Yde Amsnæs, som er kontorchef i Datatilsynet, og fortsætter:

- Der vil altid kunne ske menneskelige fejl, men dette er en lavthængende frugt, fordi der faktisk er måder, der kan mindske risikoen for, at det går galt. Derfor skærper vi vores praksis, så der bliver passet bedre på borgernes personoplysninger.

Siden den 25. maj 2018, hvor pligten til at anmelde brud på persondatasikkerheden til Datatilsynet blev indført, har tilsynet modtaget et betydeligt antal anmeldelser om fejlfremsendelse af oplysninger til forkerte modtagere, hvoraf mange af dem kan henføres direkte til anvendelsen af funktionen ”auto-complete”. Alene i 2022 var antallet af denne type brud over 100. Fejlfremsendelserne sker bl.a., når en e-mail skal sendes internt til en bestemt kollega, og man i stedet får sendt den til en forkert helt uvedkommende person. Der er eksempler på, at helt uvedkommende private borgere har fået tilsendt oplysninger, som de aldrig skulle have haft. Det har bl.a. haft som konsekvens, at kontaktoplysninger, personnumre, helbredsoplysninger, herunder om mindreårige, og oplysninger om strafbare forhold er blevet sendt til uvedkommende modtagere.

Nu skærpes praksis

Som følge af de mange brud har Datatilsynet besluttet at præcisere og skærpe praksis i forhold til, hvilke forpligtelser der påhviler de dataansvarlige, når funktionen ”auto-complete” anvendes.

Datatilsynet har hidtil udtalt, at de dataansvarlige som minimum skal overveje at indføre tekniske og/eller organisatoriske foranstaltninger, der kan mindske risikoen ved brugen af auto-complete. I de anmeldelser af brud på persondatasikkerheden, som tilsynet har modtaget, har de dataansvarlige dog – til trods for denne vejledning – ofte alene peget på organisatoriske foranstaltninger i form af øget awareness, som tiltag til at imødegå yderligere brud.

Det vil derfor fremadrettet være Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger, ikke kan nøjes med at gennemføre organisatoriske sikkerhedsforanstaltninger, f.eks. i form af retningslinjer om kommunikation og awareness herom. Disse dataansvarlige skal også gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlforsendelse som følge af brugen af ”auto-complete”. Hvis det alene er dele af organisationen/myndigheden, der i et vist systematisk omfang anvender e-mails til at sende fortrolige og/eller følsomme oplysninger, kan de tekniske foranstaltninger dog eventuelt begrænses til at gælde for dem.

Datatilsynet har besluttet, at der skal gælde en overgangsperiode indtil den 1. marts 2024, hvor de dataansvarlige får lejlighed til at vurdere risikoen og foretage de fornødne sikkerhedsforanstaltninger i overensstemmelse med den skærpede praksis.