Har I husket at kryptere jeres mails med personoplysninger? Det er faktisk et krav

NYE KRAV: Siden nytår har det været et krav fra Datatilsynet, at virksomheder, organisationer og foreninger, der sender fortrolige og følsomme personoplysninger over mail, skal gøre det via krypterede e-mails. Har I styr på de nye regler og på jeres datasikkerhed? Her er fire trin, der hjælper jer med at komme i gang.

Har du i løbet af den seneste måned mailet et kontraktudkast til en kommende medarbejder, som indeholdt CPR-nr., uden at mailen var krypteret? Eller har du svaret på en ukrypteret mail, der indeholdt fortrolige og/eller følsomme personoplysninger? Hvis ja, så har du faktisk forbrudt dig imod Datatilsynets nye skærpede regler på området, som trådte i kraft 1. januar i år.

De nye krav om krypteret mailkommunikation fra Datatilsynet betyder, at det nu ikke længere er en anbefaling, men et krav for virksomheder, herunder organisationer og foreninger, der sender fortrolige og/eller følsomme personoplysninger at gøre det over krypterede e-mails.

De nye krav for såkaldt “transmission af personoplysninger med e-mail via internettet” blev introduceret i juli 2018, men Datatilsynet har givet virksomheder herunder foreninger og organisationer seks måneder til at implementere procedurerne, og tilsynet er nu klar til at håndhæve kravene.

Hvis I ikke er kommet i gang med de nye procedurer endnu, vejleder brancheforeningen for sociale, gratis rådgivningstilbud, RådgivningsDanmark, jer her til, hvordan I kan komme i gang:

Trin 1: Få overblik
Det er afgørende, at I har overblik over jeres indsamling og behandling af fortrolige og følsomme personoplysninger. Hvis I ikke har overblik, er det vigtigt, at I kortlægger jeres indsamling og behandling af fortrolige og følsomme personoplysninger, før I vælger og implementerer et system for kryptering af mail. Start med at søge svar på følgende spørgsmål:

  • Hvornår behandler vi – for eksempel indsamler, gemmer, sender – CPR-numre eller følsomme persondata?
  • Hvem behandler CPR-numre eller følsomme persondata?
  • Behandler I ”ufrivilligt” CPR-numre eller følsomme persondata? Det vil sige, besvarer I for eksempel mails, hvor en person har angivet sit CPR-nummer, men hvor I ikke har bedt om det og ikke har brug for det?
  • Hvilke personers CPR-numre eller følsomme personoplysninger er der tale om? For eksempel ansatte, frivillige og/eller brugeres.

Når I har kortlagt jeres indsamling og behandling af fortrolige og/eller følsomme personoplysninger, er I klar til næste skridt.

Trin 2: Tag stilling
Det er vigtigt, at I tager aktivt stilling til, hvilken praksis for indsamling og behandling af persondata, I har brug for og ønsker. Spørg jer selv:

  • Har vi brug for at behandle de CPR-numre eller følsomme personoplysninger, som vi gør i dag og hvorfor? Det er ikke alle foreninger, der har brug for at behandle fortrolige og følsomme personoplysninger. Det kan for eksempel være gammel praksis at have CPR-numre på frivillige, men det er måske slet ikke nødvendigt for foreningens drift.
  • Hvem skal have adgang til personoplysninger?
    Tag en beslutning om, hvem der skal have adgang til fortrolige og følsomme personoplysninger. Det er sjældent nødvendigt, at alle i foreningen har til opgave at behandle disse typer data.

Når I har kortlagt jeres indsamling og behandling af fortrolige og følsomme personoplysninger, er I klar til at vurdere, hvilken teknisk løsning I har behov for til kryptering. Når det kommer til at finde den tekniske løsning, der passer til jeres behov, kan I finde teknisk vejledning hos Datatilsynet.

Trin 3: Sørg for, at den nye praksis bliver forankret
Det er selvfølgelig vigtigt, at I finder en teknisk løsning til kryptering af e-mails, men forankringen i organisationen er endnu vigtigere. Den sikrer I ved at kommunikere de nye regler og jeres nye praksis ud internt i jeres organisation.

Sørg for, at de ansatte og frivillige, der behandler og sender CPR-numre eller følsomme personoplysninger, har styr på, hvornår og hvordan de skal anvende krypterede mails.

I forhold til kommunikation med nye medarbejdere og/eller frivillige betyder de nye praksisser, at I ikke længere må sende ansættelseskontrakter eller andre dokumenter, der indeholder CPR-nummer via ukrypteret mail.

Hvis I ”ufrivilligt” behandler CPR-numre eller følsomme persondata, for eksempel hvis I modtager en mail fra en frivillig eller et medlem, der indeholder fortrolige eller følsomme oplysninger, må I ikke svare i samme mail-tråd, så vedkommendes mail bliver sendt retur med de fortrolige oplysninger i jeres svar. I skal i stedet sende en ny mail, hvor I undgår at referere de følsomme eller fortrolige oplysninger. Husk at slette mailen med de fortrolige oplysninger – også fra ”slettet post”-mappen i jeres mailboks.

Trin 4: Kommunikér om jeres praksis for sikker mail-kommunikation
Det er en god ide at udarbejde en guide med jeres praksis på området. Ligesom det er vigtigt, at jeres ansatte og frivillige, der behandler fortrolig og følsomme personoplysninger, er bekendte med, hvad begreberne “fortrolige og følsomme personoplysninger” dækker over.

Når I har gennemgået disse fire trin, anbefaler RådgivningsDanmark, at I fortæller jeres ansatte, frivillige og brugere, for eksempel på hjemmesiden, at I anvender krypteret mail, så de kan føle sig trygge, når de giver jer deres oplysninger.

Her er definition på personoplysninger efter databeskyttelsesforordningen:

Fortrolige personoplysninger er oplysninger om blandt andet:

  • CPR-nummer
  • Strafbare forhold
  • Andre personlige oplysninger, som almindeligvis kan kræves utilgængelige for offentligheden. 

Følsomme oplysninger er oplysninger om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Læs mere om personoplysninger på Datatilsynets hjemmeside.


---
Er du nybegynder ud i kryptering? I denne artikel giver en ekspert i digital sikkerhed dig svar på de mest basale spørgsmål. Og i denne artikel kan du blive klogere på, hvilke krypteringsløsninger der passer til jeres forening.

Første skridt til bedre it-sikkerhed er bedre adgangskoder. Her får I otte gode råd til at lave sikrere adgangskoder – og huske dem.

Forrige artikel Find den bedste krypteringsløsning til din forening Find den bedste krypteringsløsning til din forening Næste artikel Få succes med jeres folkemødeevent: Smid direktøren ud og slagt kæmpepanelet Få succes med jeres folkemødeevent: Smid direktøren ud og slagt kæmpepanelet
Aktivisme: Sæt kreativiteten fri hvis du vil have opmærksomhed

Aktivisme: Sæt kreativiteten fri hvis du vil have opmærksomhed

AKTIVISME: Med pruttende køer og politisk rap har et internationalt forskerteam forsøgt at måle effekten af kreativ aktivisme. Demokratiforsker og studieleder Silas Harrebye fortæller her, hvorfor det kan give mening for civilsamfundet at søge inspiration hos kunstnere og andre kreative sjæle, når man vil skabe social forandring.

Videoreportage fra Civilsamfundets Fællesdag 2019

Videoreportage fra Civilsamfundets Fællesdag 2019

VIDEO: For andet år i træk mødtes civilsamfundets parter til deres egen festdag, Civilsamfundets Fællesdag. Se med her, hvor du kan møde nogle deltagerne og høre, hvad de fik ud af dagen.

CBS-professor: Konkurrencestaten har utilsigtet givet civilsamfundet nyt liv

CBS-professor: Konkurrencestaten har utilsigtet givet civilsamfundet nyt liv

FORSKNINGSFORMIDLING: De seneste 30 år er et hav af reformer skyllet ind over Danmark og har sat velfærd på formler, som kan reguleres, effektiviseres og rammestyres. Presset på især kommuner har banet vejen for nye samarbejder mellem civilsamfund, det private og den offentlige sektor. Det betyder, at der eksperimenteres som aldrig før ude i det civile Danmark, siger CBS-professor Lars Bo Kaspersen.

Den nyeste civilsamfundsforskning – få overblik her

Den nyeste civilsamfundsforskning – få overblik her

SERVICE: Endnu en gang har Civilsamfundets Videnscenter med hjælp fra danske forskningsinstitutioner indsamlet de nyeste publikationer inden for civilsamfundsforskningen – denne gang med et svensk islæt. Gå på opdagelse i dem her.

Q&A: Sådan sikrer du det gode samarbejde med Velux Fonden

Q&A: Sådan sikrer du det gode samarbejde med Velux Fonden

Q&A: Ring, skriv, og vær klar på dialog. Det er en stor del af Velux Fondens opskrift på det gode samarbejde mellem ansøger og fond. Og er du nervøs for uopnåelige milepæle, uenigheder med din ansøgningspartner eller måske bare usikker på, hvordan du sikrer den nødvendige effekt i projektet, så læs Velux Fondens svar på det hele her.

Q&A: Sådan sikrer du det gode samarbejde med Augustinus Fonden

Q&A: Sådan sikrer du det gode samarbejde med Augustinus Fonden

Q&A: Augustinus Fonden ser sig selv som dialogpartner fremfor samarbejdspartner eller sparringspartner, fortæller fondsdirektør Frank Rechendorff Møller. Her er fondsdirektørens bud på det gode samarbejde mellem ansøger og Augustinus Fonden.

Benspænd skal gøre den demokratiske samtale levende på Folkemødet

Benspænd skal gøre den demokratiske samtale levende på Folkemødet

FM20: Der er for lidt demokratisk samtale og for meget envejskommunikation på Folkemødet. Foreningen Folkemødet lancerer til januar en række benspænd, der skal udfordre vanetænkningen. Den Nationale Samskabelsesbevægelse er en af bidragsyderne. Her får I deres seks fif til, hvordan I kan genstarte den demokratiske debat med jeres Folkemøde-event.

Vil du have mere dialog og mindre monolog på Folkemødet? Følg disse ti råd

Vil du have mere dialog og mindre monolog på Folkemødet? Følg disse ti råd

FM20: Skal det hele bare være gak og løjer, før folk lytter? Bør du skele til køn og alder, når du sammensætter et panel? Og hvorfor er det en god idé at samarbejde med andre arrangører på Folkemødet? Kræftens Bekæmpelse og Mellemfolkeligt Samvirke (MS) giver her deres bedste råd til, hvordan du sammensætter et varieret og inkluderende program på Folkemødet.

Fundraising: 4 fif til at finde driftsmidler

Fundraising: 4 fif til at finde driftsmidler

STØTTEKRONER: Der er ikke nogen nemme smutveje, når offentlige midler tørrer ud, eller fonden klapper pengekassen i. Derfor må foreninger og ngo’er lære at sno sig for at skaffe midler til drift. Lea Gry von Cotta-Schønberg er ejer af Konsulenthuset Kontingens og underviser i fundraising. Her guider hun til alternative skattekister. 

Bikubenfonden: Driftsmidler er ikke længere et fyord

Bikubenfonden: Driftsmidler er ikke længere et fyord

For fire år siden satte Bikubenfonden en ny kurs. I bestræbelsen på at skabe varige forandringer for udsatte unge fordeler fonden i dag sine fondsmidler på færre projekter med længere levetid. Den nye strategi betyder, at samarbejdspartnernes udgifter til drift er noget, man taler åbent og ærligt om, siger chef for socialområdet, Sine Egede. 

Ekspert: Åbenhed er fondes pris for driftsmidler til civilsamfundet

Ekspert: Åbenhed er fondes pris for driftsmidler til civilsamfundet

FUNDRAISING: Hvis civilsamfundet ønsker fondes hjælp til at løfte driftsudgifter, må organisationerne indstille sig på mere involvering og åbenhed om, hvordan de forvalter deres midler. Sådan lyder rådet fra Birgitte Boesen, der har skrevet bogen 'Fonde i bevægelse', og som er indehaver af rådgivningsbureauet büroCPH.