Udgivet den af Ole Schmitto

Autocomplete i mail klienter er ikke tilladt!

De fleste sikkerhedsbrud der anmeldes til datatilsynet, skyldes “menneskelige fejl”. Eller gør de?

Menneskelig fejl:

En af de mest normale fejl som efterfølgende kræver at man anmelder sikkerhedsbrud til datatilsynet, er at man sender en mail til de forkerte med personhenførbare oplysninger… fordi man har aktiveret…

Autocomplete.

Mail programmer tilbyder automatisk, at gemme modtagere man tidligere har sendt mails til.

Næste gang du skal sende en mail til “Marianne”, foreslår mail progammet en “Marianne”, og hvis man så ikke er opmærksom på, om det er den rigtige Marianne, ja så sender man til den forkerte.

Anmeld til datatilsynet.

Hvis mailen indeholdt personhenførbare oplysninger, især hvis de er fortrolige/følsommme, ja så skal det anmeldes til datatilsynet.

Datatilsynet er “trætte af de anmeldelser”.

GDPR lovgivningen “Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige skal træffe passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.”

Hvad bør jeg gøre nu?

Du skal udføre en risiko vurdering, og vurdere hvordan du kan minimere chancen for, at en ansat sender mail til den forkerte.

Det er ikke nok, at du blot laver awareness kampagner på området for de ansatte. Du skal også lave tekniske foranstaltninger som:

  1. Risikovurdering med beskrivelse af hvordan du minimerer riskoen for at sende mail til den forkerte modtager.
  2. Kommuniker retningslinjer for intern og ekstern kommunikation.
  3. Sikre at post sendes sikkert. Det vil sige, at du skal kunne bevise at afsender og modtager sender krypteret.
  4. Anvend systemer, CRM, Journal systemer og kunde systemer, hvorfra mail udsendes direkte, så mail adressen ikke manuelt skal indtastes.
  5. Hvis man skal indtaste mail adressen manuelt, så SKAL mail adressen kopieres ind hver gang fra kunde/patient systemet. Man må ikke indtaste dem manuelt eller autocomplete.
  6. Forsinket afsendelse. Konfigurer så man har 30 sek eller 1 minut til at fortryde/redigere en mail afsendelse.
  7. Autocomplete bør de-aktiveres, som minimum for de ansatte der sender fortrolige/følsommme oplysninger.

Mere info

Datatilsynet skærper praksis i forhold til anvendelsen af ”auto-complete” i mailprogrammer