meny

Säkerhet för personuppgifter i e-post

Hantering av e-post, såväl inom organisationen som externt, innebär oftast särskilda risker. Det är därför extra viktigt att se över säkerheten när det kommer till behandling av personuppgifter i e-post.

Här nedan följer en beskrivning av vad man bör tänka på när man behandlar personuppgifter i e-post. Beskrivningen är endast avsedd som en vägledning och är inte uttömmande. Det är varje organisations ansvar att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen i e-post medför.

Varför säkerhet?

Syftet med dataskyddsförordningen är att skydda människors personliga integritet. Behandlingen av personuppgifter måste därmed ske på ett sätt som säkerställer lämplig säkerhet. Detta gäller för all typ av personuppgiftsbehandling inklusive den som sker via e-post. Kraven på säkerhetsåtgärder kan inte frångås ens med den registrerades samtycke.

Riskerna med e-post

När man hanterar e-post finns det alltid en risk för att andra än den avsedda mottagaren kan ta del av meddelandet. I många fall är det omöjligt att säkerställa identiteten hos en mottagare enbart utifrån en uppgiven e-postadress. Det finns dessutom säkerhetsbrister i de kommunikationsprotokoll som ligger till grund för e-postsystem. När ett e-postmeddelande skickas mellan e-postservrar över Internet passerar det ofta andra sevrar på vägen. Om informationen i e-postmeddelandet är oskyddad finns det inget som hindrar att kopior av informationen sparas undan vid var och en av dessa servrar. Det blir därmed svårt att se till att inte obehöriga tar del av den kopierade informationen. Detta gäller särskilt då e-posten är åtkomlig via öppet nät eller är synkroniserad med mobila enheter som till exempel bärbara datorer, pekplattor och mobiltelefoner.

Dagens e-postprogram innehåller också en del funktioner som ökar riskerna för att e-postmeddelanden skickas fel. Det kan vara namn och e-postadresser som fylls i automatiskt eller upprättade e-postlistor som gör att e-posten oavsiktligt riskerar att skickas till fel mottagare eller till betydligt fler mottagare än avsändaren avsett.

Det finns risker även med "intern" e-post

Den senaste tidens teknikutveckling har gjort att det blivit allt svårare att tala om intern hantering av e-post. Uppfattningen om att e-post som skickas inom en organisation inte går över öppna nät är i de flesta fall felaktig. Om det exempelvis finns funktioner för webbmejl innebär de så gott som alltid att e-post görs tillgängligt via ett öppet nät. Det gäller också när e-post, utan att gå över ett virtuellt privat nätverk, kan hämtas till e-postklienter utifrån via till exempel POP eller IMAP. Detsamma gäller om vissa tjänster, till exempel antivirusfunktioner eller spamtvätt, tillhandahålls av en extern leverantör. Om hela eller delar av drift, administration eller underhåll av e-postsystemet läggs ut på en extern part, ett personuppgiftsbiträde, tillkommer frågor kring hur denne går till väga för att logga in till e-postsystemet. Funktioner för distansadministration används ofta över öppet nät.

Den ökade användningen av och synkroniseringen med mobila enheter gör också att det blir svårare att tala om intern hantering av e-post eftersom sådana ofta används utanför den egna organisationens lokaler och nätverk.

Personuppgiftsansvarig har ansvar

Det är den personuppgiftsansvarige som ansvarar för säkerställandet av lämplig säkerhet vid behandling av personuppgifter i e-post. Den personuppgiftsansvarige ska även kunna visa att e-post behandlingen utförs i enlighet med dataskyddsförordningen.

Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och är skyldig att vidta de säkerhetsåtgärder som den personuppgiftsansvarige kräver och instruerar om vad gäller hanteringen i e-post.

Som enskild anställd ska du följa de instruktioner som din arbetsgivare ger dig. Du ska inte behöva göra egna bedömningar eller fatta egna beslut om hur du ska hantera personuppgifter i e-post.

Vad måste den personuppgiftsansvarige göra?

Riskbedömning

En bedömning av sannolikheten för olika typer av risker och konsekvenserna av dessa bör göras som underlag för säkerställandet av säkerhetsåtgärder vad gäller e-post. Som personuppgiftsansvariga bör ni därför ställa er följande frågor:

  • Vad är riskbilden? Det vill säga vilka händelser skulle kunna drabba personuppgifterna vid e-posthanteringen?
  • Hur stor är risken för att olika hot blir verklighet?
  • Vilka är konsekvenserna om ett hot skulle bli aktuellt?
  • Vilka åtgärder kan vidtas för att minska riskerna med behandlingen?

Bedömning av lämplig säkerhet

Som personuppgiftsansvariga måste ni genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen i e-post uppfyller kraven i dataskyddsförordningen. Detta innebär att ni måste se till att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen i e-post. En risk- och sårbarhetsanalys behöver därmed göras utifrån omständigheterna i det enskilda fallet.

Bedömningen av vilka säkerhetsåtgärder som behövs är beroende bland annat av vilka uppgifter som behandlas. E-post innebär i princip alltid att man behandlar personuppgifter. E-postadressen är i sig oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter.

Behandling av känsliga personuppgifter och integritetskänsliga personuppgifter kräver ett starkare skydd enligt dataskyddsförordningen. Detta då behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna som varje medborgare har.

Generellt gäller att denna typ av uppgifter ska skyddas på ett sådant sätt att obehöriga inte kan ta del av uppgifterna, vilket i praktiken kan innebära att känsliga och/eller särskilt integritetskänsliga uppgifter måste krypteringsskyddas på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. Vissa e-postsystem har funktioner för att kryptera meddelanden mellan användare inom samma e-postdomän, men vanligtvis behövs särskilda krypteringsnycklar eller programvaror för att kryptera e-post.

För att skapa en lämplig skyddsnivå för personuppgifter i e-post måste ni göra en samlad bedömning och beakta följande punkter:

  • Behandlingens art
  • Behandlingens omfattning
  • Sammanhanget
  • Ändamålet med behandlingen
  • Hur pass känsliga de behandlade personuppgifterna är
  • Riskerna som finns i e-postmiljön
  • De tekniska möjligheter som finns tillgängliga på marknaden
  • Genomförandekostnader för säkerhetsåtgärderna

Den personuppgiftsansvarige måste utforma lämpliga arbetsrutiner och arbetsdokument för e-post

Som personuppgiftsansvariga har ni ett ansvar för att bestämmelserna i dataskyddsförordningen följs och ni måste också kunna visa att ni har tagit det ansvaret. Det är därmed viktigt att ni dokumenterar era bedömningar i ett eller flera arbetsdokument.

Som personuppgiftsansvariga bör ni även utforma lämpliga arbetsrutiner och tydliga instruktioner för att alla som har tillgång till personuppgifter inom verksamheten ska veta hur dessa ska hanteras. En dokumenterad policy och tydliga rutiner minskar riskerna för kränkningar och underlättar vid den vardagliga hanteringen av e-post.

Instruktionerna ska vara så pass tydliga att det klart framgår vilka typer av personuppgifter som under vilka omständigheter får respektive inte får skickas med e-post. Eventuella referenser till sekretessmarkerade, skyddsvärda eller känsliga uppgifter bör förtydligas för att undvika tvivel kring vad som avses. Rutiner behövs för att ta hand om inkommande e-post som innehåller integritetskänsliga personuppgifter eftersom e-postsystem normalt inte är konstruerade för att hantera den typen av personuppgifter.

För att en policy ska förbli verkningsfull över tid är det också lämpligt att ha rutiner för att säkerställa att den efterlevs och respekteras.

Checklista för den personuppgiftsansvarige

Sammanfattningsvis bör ni som personuppgiftsansvariga:

  • göra en risk- och sårbarhetsanalys avseende hanteringen av personuppgifter i e-post
  • kartlägga riskbilden för e-posthanteringen. Om risken bedöms som hög, kan ni behöva göra en konsekvensbedömning
  • införa lämpliga säkerhetsåtgärder vid behandling av personuppgifter i e-post
  • fastställa policy för säkerhetshanteringen
  • upprätta regler och rutiner
  • informera och utbilda kontinuerligt avseende hanteringen av personuppgifter i e-post
  • följa upp att regler och rutiner efterlevs och respekteras
  • testa säkerheten regelbundet.

Läs mer om konsekvensbedömningar

Vad gäller speciellt för myndigheter?

Enligt den nya förvaltningslagen ska myndigheter se till att kontakterna med enskilda blir smidiga och enkla. Detta gäller även kontakterna som sker via e-post. Dataskyddsförordningen gäller dock även för myndigheter, vilket innebär att behandlingen av personuppgifter måste skyddas. Det är upp till den personuppgiftsansvarige, dvs. myndigheten i detta fall, att se till att behandlingen av personuppgifter i e-post utförs på ett sätt som säkerställer lämplig säkerhet.

Vad gäller speciellt för vårdgivare?

Vårdgivare måste tillämpa dataskyddsförordningen och dessutom gäller patientdatalagen som är ett komplement till förordningen.

Både privata och offentliga vårdgivare omfattas av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 20016:40). Enligt Socialstyrelsens föreskrifter får patientuppgifter överföras över öppna nät om det kan göras så att inga obehöriga kan ta del av uppgifterna och om åtkomst till patientuppgifter föregås av stark autentisering. Det gäller även för e-post och innebär i praktiken ett krav på att patientuppgifterna i ett e-postmeddelande ska krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. En vårdgivare kan dock under särskilda omständigheter och efter en behovs- och riskanalys, besluta att påminnelser och kallelser till vård och behandling kan skickas med sms eller oskyddad e-post.