Har I husket at kryptere jeres mails med personoplysninger? Det er faktisk et krav

NYE KRAV: Siden nytår har det været et krav fra Datatilsynet, at virksomheder, organisationer og foreninger, der sender fortrolige og følsomme personoplysninger over mail, skal gøre det via krypterede e-mails. Har I styr på de nye regler og på jeres datasikkerhed? Her er fire trin, der hjælper jer med at komme i gang.

Har du i løbet af den seneste måned mailet et kontraktudkast til en kommende medarbejder, som indeholdt CPR-nr., uden at mailen var krypteret? Eller har du svaret på en ukrypteret mail, der indeholdt fortrolige og/eller følsomme personoplysninger? Hvis ja, så har du faktisk forbrudt dig imod Datatilsynets nye skærpede regler på området, som trådte i kraft 1. januar i år.

De nye krav om krypteret mailkommunikation fra Datatilsynet betyder, at det nu ikke længere er en anbefaling, men et krav for virksomheder, herunder organisationer og foreninger, der sender fortrolige og/eller følsomme personoplysninger at gøre det over krypterede e-mails.

De nye krav for såkaldt “transmission af personoplysninger med e-mail via internettet” blev introduceret i juli 2018, men Datatilsynet har givet virksomheder herunder foreninger og organisationer seks måneder til at implementere procedurerne, og tilsynet er nu klar til at håndhæve kravene.

Hvis I ikke er kommet i gang med de nye procedurer endnu, vejleder brancheforeningen for sociale, gratis rådgivningstilbud, RådgivningsDanmark, jer her til, hvordan I kan komme i gang:

Trin 1: Få overblik
Det er afgørende, at I har overblik over jeres indsamling og behandling af fortrolige og følsomme personoplysninger. Hvis I ikke har overblik, er det vigtigt, at I kortlægger jeres indsamling og behandling af fortrolige og følsomme personoplysninger, før I vælger og implementerer et system for kryptering af mail. Start med at søge svar på følgende spørgsmål:

  • Hvornår behandler vi – for eksempel indsamler, gemmer, sender – CPR-numre eller følsomme persondata?
  • Hvem behandler CPR-numre eller følsomme persondata?
  • Behandler I ”ufrivilligt” CPR-numre eller følsomme persondata? Det vil sige, besvarer I for eksempel mails, hvor en person har angivet sit CPR-nummer, men hvor I ikke har bedt om det og ikke har brug for det?
  • Hvilke personers CPR-numre eller følsomme personoplysninger er der tale om? For eksempel ansatte, frivillige og/eller brugeres.

Når I har kortlagt jeres indsamling og behandling af fortrolige og/eller følsomme personoplysninger, er I klar til næste skridt.

Trin 2: Tag stilling
Det er vigtigt, at I tager aktivt stilling til, hvilken praksis for indsamling og behandling af persondata, I har brug for og ønsker. Spørg jer selv:

  • Har vi brug for at behandle de CPR-numre eller følsomme personoplysninger, som vi gør i dag og hvorfor? Det er ikke alle foreninger, der har brug for at behandle fortrolige og følsomme personoplysninger. Det kan for eksempel være gammel praksis at have CPR-numre på frivillige, men det er måske slet ikke nødvendigt for foreningens drift.
  • Hvem skal have adgang til personoplysninger?
    Tag en beslutning om, hvem der skal have adgang til fortrolige og følsomme personoplysninger. Det er sjældent nødvendigt, at alle i foreningen har til opgave at behandle disse typer data.

Når I har kortlagt jeres indsamling og behandling af fortrolige og følsomme personoplysninger, er I klar til at vurdere, hvilken teknisk løsning I har behov for til kryptering. Når det kommer til at finde den tekniske løsning, der passer til jeres behov, kan I finde teknisk vejledning hos Datatilsynet.

Trin 3: Sørg for, at den nye praksis bliver forankret
Det er selvfølgelig vigtigt, at I finder en teknisk løsning til kryptering af e-mails, men forankringen i organisationen er endnu vigtigere. Den sikrer I ved at kommunikere de nye regler og jeres nye praksis ud internt i jeres organisation.

Sørg for, at de ansatte og frivillige, der behandler og sender CPR-numre eller følsomme personoplysninger, har styr på, hvornår og hvordan de skal anvende krypterede mails.

I forhold til kommunikation med nye medarbejdere og/eller frivillige betyder de nye praksisser, at I ikke længere må sende ansættelseskontrakter eller andre dokumenter, der indeholder CPR-nummer via ukrypteret mail.

Hvis I ”ufrivilligt” behandler CPR-numre eller følsomme persondata, for eksempel hvis I modtager en mail fra en frivillig eller et medlem, der indeholder fortrolige eller følsomme oplysninger, må I ikke svare i samme mail-tråd, så vedkommendes mail bliver sendt retur med de fortrolige oplysninger i jeres svar. I skal i stedet sende en ny mail, hvor I undgår at referere de følsomme eller fortrolige oplysninger. Husk at slette mailen med de fortrolige oplysninger – også fra ”slettet post”-mappen i jeres mailboks.

Trin 4: Kommunikér om jeres praksis for sikker mail-kommunikation
Det er en god ide at udarbejde en guide med jeres praksis på området. Ligesom det er vigtigt, at jeres ansatte og frivillige, der behandler fortrolig og følsomme personoplysninger, er bekendte med, hvad begreberne “fortrolige og følsomme personoplysninger” dækker over.

Når I har gennemgået disse fire trin, anbefaler RådgivningsDanmark, at I fortæller jeres ansatte, frivillige og brugere, for eksempel på hjemmesiden, at I anvender krypteret mail, så de kan føle sig trygge, når de giver jer deres oplysninger.

Her er definition på personoplysninger efter databeskyttelsesforordningen:

Fortrolige personoplysninger er oplysninger om blandt andet:

  • CPR-nummer
  • Strafbare forhold
  • Andre personlige oplysninger, som almindeligvis kan kræves utilgængelige for offentligheden. 

Følsomme oplysninger er oplysninger om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Læs mere om personoplysninger på Datatilsynets hjemmeside.


---
Er du nybegynder ud i kryptering? I denne artikel giver en ekspert i digital sikkerhed dig svar på de mest basale spørgsmål. Og i denne artikel kan du blive klogere på, hvilke krypteringsløsninger der passer til jeres forening.

Første skridt til bedre it-sikkerhed er bedre adgangskoder. Her får I otte gode råd til at lave sikrere adgangskoder – og huske dem.

Forrige artikel Find den bedste krypteringsløsning til din forening Find den bedste krypteringsløsning til din forening Næste artikel Få succes med jeres folkemødeevent: Smid direktøren ud og slagt kæmpepanelet Få succes med jeres folkemødeevent: Smid direktøren ud og slagt kæmpepanelet
Prissammenligning: Find den billigste bank til din forening

Prissammenligning: Find den billigste bank til din forening

BANKGEBYRER: Der kan være flere tusinde kroner at spare ved at vælge den rette bank. I denne prissammenligning kan du finde bankerne med de laveste priser og få overblik over, hvilke gebyrer du især skal holde øje med.

I Albertslund går 36 borgere til demokrati dette efterår

I Albertslund går 36 borgere til demokrati dette efterår

BORGERSAMLING: Albertslund vil gerne lokke 10.000 nye borgere til kommunen de næste 10 år. Men hvordan skal Albertslund udvikle sig, så der er plads og fællesskaber til alle? Det svar forsøger 36 udvalgte borgere over 16 år, der alle sidder i Albertslunds første borgersamling, at komme frem til hen over efteråret. 

Tre nedslag i europæiske borgerting

Tre nedslag i europæiske borgerting

RUNDTUR: Tilliden til politikere er dalende. Som modsvar eksperimenterer man rundt om i verden med borgerting og borgersamlinger, der har til formål at bringe de politiske beslutninger tættere på borgernes ønsker. Her har du tre eksempler fra Europa. 

Coronavirus blusser op: Her er, hvad civilsamfundet skal vide

Coronavirus blusser op: Her er, hvad civilsamfundet skal vide

CORONASTATUS: Efteråret er kommet, og coronavirus påvirker igen store dele af samfundet. Her finder du seneste nyt om forsamlingsforbud, mundbind og hvad du skal gøre, hvis du oplever smittespredning i din civilsamfundsorganisation.

Gode råd: Sådan afrapporterer du bedst til fonde

Gode råd: Sådan afrapporterer du bedst til fonde

GUIDE: At lave en god og effektiv afrapportering til fonde kan være en uoverskuelig opgave for mange civilsamfundsorganisationer. For hvad skal med, og hvordan sikrer vi læring for os selv og fonden? Hanne Brinch er stifter af non-profit virksomheden Foundgood og giver her sine bedste råd.

Fond: Digital afrapportering gør det nemmere at måle “impact”

Fond: Digital afrapportering gør det nemmere at måle “impact”

AFRAPPORTERING: Hos Novo Nordisk Fonden er gammeldags papirrapporter, der samler støv på skriveborde og i vindueskarme, en saga. I stedet skal civilsamfundsorganisationer fortælle om deres resultater i søgbare databaser. Det sikrer transparens og sparer tid og ressourcer hos både fond og bevillingsmodtagere, lyder det.

Normale spilleregler sættes ud af kraft, når frivillige hjælper til i kommuner

Normale spilleregler sættes ud af kraft, når frivillige hjælper til i kommuner

FORSKNING: Professor Bjarne Ibsen og hans kolleger ved Center for forskning i Idræt, Sundhed og Civilsamfund på Syddansk Universitet har gennem flere år nærstuderet samarbejdet mellem kommuner og frivillige. Mange steder mangler de frivillige og kommuner klare aftaler for samarbejdet, lyder konklusionen.

I Ringkøbing/Skjern er frivillige rygraden i kommunens aktivitetscentre

I Ringkøbing/Skjern er frivillige rygraden i kommunens aktivitetscentre

BEST PRACTISE: Aktivitetscentrene i Ringkøbing/Skjern Kommune er hjemsted for cirka 220 aktiviteter, som frivillige i høj grad selv har defineret og driver. Her giver Janne Nielsen, der er leder af kommunens aktivitetsområde Sundhed og Omsorg, sine bedste råd til, hvordan du bedst fastholder og motiverer de frivillige hjælpere.

Opsang fra forsker: Pas på I ikke kvæler de frivillige med krav og regler

Opsang fra forsker: Pas på I ikke kvæler de frivillige med krav og regler

KRITIK: Frivilliges indsats er i sin natur “utæmmelig” og drevet af lysten til at gøre en forskel. Derfor bør kommuner holde igen med at styre ud fra egne idealer og standarder, lyder det fra CBS-forsker Anders La Cour. Han sætter også spørgsmålstegn ved Frivillighedsrådets store Good Governance-projekt og dens fokus på topledelse, tydelighed og klare strukturer.

Skridt for skridt: Sådan skruer du en effektfuld SoMe-kampagne sammen

Skridt for skridt: Sådan skruer du en effektfuld SoMe-kampagne sammen

GUIDE: Kampagner på sociale medier kan rokke politiske ståsteder og fremtrylle penge på finansloven, der ellers ikke fandtes. Astrid Haug og Benjamin Rud Elberth er SoMe-eksperter og giver her deres bedste råd, når du vil søsætte en kampagne, der skal skabe forandringer. 

Memory lane: Tre kampagner der skabte forandring

Memory lane: Tre kampagner der skabte forandring

TILBAGEBLIK: Hvis du som civilsamfundsorganisation gerne vil sætte dagsorden og skabe forandring, går vejen ofte gennem en SoMe-kampagne. Vi genbesøger her tre ikoniske kampagner.

Naturens vogtere: Vi tænker ret højt om vores communities

Naturens vogtere: Vi tænker ret højt om vores communities

BEST PRACTISE: I nutidens medielandskab er SoMe-kampagnen stedet, du for alvor kan samle natur- og klimainteresserede mennesker og kræve forandring. Danmarks Naturfredningsforenings digitale redaktør, Sanne Buggeskov, tager Civilsamfundets Videnscenter med om bag kulissen.

Sådan gøder socialøkonomiske virksomheder kommunalt samarbejde

Sådan gøder socialøkonomiske virksomheder kommunalt samarbejde

GUIDE: Mange kommuner har et småstøvet notat liggende om, at de gerne vil samarbejde med socialøkonomiske virksomheder, men de har samtidig svært ved at knække koden. I denne guide klæder Dorte Bukdahl, der er centerleder i Copenhagen Dome - Videnscenter for socialøkonomi, parterne på til at indgå i gode samarbejder. 

Socialøkonomi: Succeskommunen Silkeborg skruer op for partnerskaber

Socialøkonomi: Succeskommunen Silkeborg skruer op for partnerskaber

BEST PRACTISE: Da John Kvistgaard kom til Silkeborg Kommune, lå der ikke meget andet end en hensigtserklæring om socialøkonomi på et stykke papir. I dag - efter godt fem år - har kommunen succes med at få langtidsledige i job og har sparet millioner. Næste skridt er partnerskaber.