I en ret klar udmelding forleden skrev Datatilsynet, at Datatilsynet skærper praksis for brugen af “auto-complete”. Det Datatilsynet konkret skriver, er, at man nu har mistet tålmodigheden med de dataansvarlige, som gentagne gange melder sikkerhedsbrud ind, der skyldes fejlforsendelser af emails med personoplysninger på grund af “auto-complete”. Det er den funktionalitet, som færdiggør modtageradressen, og som findes i de fleste populære email-programmer.
Datatilsynet oplyser, at der er modtaget mere end 100 anmeldelser med denne årsag i 2022. Datatilsynet kritiserer, at de dataansvarlige som reaktion på disse brud, igen og igen henfalder til organisatoriske tiltag og opmærksomhedsskabende aktiviteter.
Datatilsynet skriver videre, at man finder disse tiltag utilstrækkelige, og at praksis derfor skærpes. Tilsynet forventer nu, at de dataansvarlige tager skeen i den anden hånd. Man skal i højere grad gør brug af de tekniske foranstaltninger, som allerede er tilstede.
Det kan f.eks. være at foretage jævnlig sletning af “auto-complete”-listen. Andre tiltag er at indføre øget kontrol med brugeradfærd og teknisk forsinkelse af afsendelse, så brugeren kan nå at stoppe mailen. Man kan også helt grundlæggende slå den populære og tidsbesparende auto-complete fra. Det vil formentlig blive oplevet som en forringelse set fra et brugerperspektiv. Derfor bør man som dataansvarlig vurdere fordele og ulemper ved de enkelte tiltag. Grundlæggende skal man naturligvis have sin databeskyttelsesmæssige risikovurdering på plads.
Datatilsynet skriver:
“Det er Datatilsynets opfattelse, at kravet i databeskyttelsesforordningens artikel 32 om passende sikkerhed indebærer, at alle dataansvarlige – både i den private og i den offentlige sektor – der anvender funktionen ”auto-complete” i e-mailprogrammer, har pligt til at gennemføre passende sikkerhedsforanstaltninger for at mindske risikoen for, at oplysninger om registrerede, herunder særligt fortrolige og/eller følsomme oplysninger, ikke kommer til uvedkommendes kendskab.”
Uanset hvad man vælger som dataansvarlig, så bør det nu være klart for enhver, at Datatilsynet med sin udmelding om en skærpet praksis omkring “auto-complete”, ikke længere vil se passivt til, når de dataansvarlige melder “auto-complete”-sikkerhedsbrud ind.
Kontakt GDPR-hotline for at høre mere om, hvordan du kan gennemføre de passende sikkerhedsforanstaltninger af både teknisk og organisatorisk karakter, som Datatilsynet anbefaler, og som kan mindske risikoen for sikkerhedsbrud.
Du kan læse mere om udmeldingen på Datatilsynets hjemmeside.