Datatilsynet skærper praksis i forhold til anvendelsen af autocomplete i mailprogrammer

Autocomplete er en funktion, der kommer med automatiske forslag til modtageren, når der indtastes i e-mailfelterne Til, Cc og Bcc. Dette kan medføre, at e-mailen ender hos en forkert modtager – altså opstår der et brud på persondatasikkerheden.

Den nye praksis

Datatilsynet har hidtil sagt, at man som dataansvarlig som minimum skal overveje at indføre tekniske og/eller organisatoriske foranstaltninger, som kan mindske risikoen ved brugen af autocomplete. Dette har dog ikke været tilstrækkeligt, da Datatilsynet har erfaret, at de dataansvarlige ofte kun har brugt awareness som en organisatorisk foranstaltning.

Fremadrettet vil det være Datatilsynets opfattelse, at hvis man systematisk sender e-mails med fortrolige og/eller følsomme personoplysninger, så kan man ikke nøjes med at gennemføre organisatoriske foranstaltninger, men man skal ligeledes indføre tekniske foranstaltninger. Et eksempel på en sådan foranstaltning kan være, at man slår autocomplete-funktionen helt fra. Det kan også være, at man bliver advaret om, hvem man sender en e-mail til. Dette kan være en advarsel om, at man sender til en modtager, som ikke er i ens virksomhed.

Datatilsynet har besluttet, at der skal gælde en overgangsperiode indtil den 1. marts 2024, hvor virksomheder har mulighed for at foretage en risikovurdering af deres udsendelse af mails og foretage de nødvendige sikkerhedsforanstaltninger i forhold til den nye skærpede praksis.

Datatilsynet har oprettet en ny side, som omhandler denne problemstilling. Det kan ses her: Auto-complete af e-mailadresser (datatilsynet.dk)

Har I brug for hjælp til opsætning af jeres mail, så den stemmer overens med den nye praksis? Vi kan hjælpe med at foretage en ny risikovurdering for jer og se hele jeres setup vedrørende udsendelse af e-mails igennem.