Kryptering af mails og filer ved personfølsomme oplysninger

Ved du hvordan du vil sende følsomme personoplysninger til din klient? Hun har måske bedt om indsigt i sin journal. Tager du en kopi, scanner den ind og mailer den til hende?. . . .Eller tager du en kopi og lægger den i en kuvert til hende, som hun kan afhente? eller? . .. .

En klient skriver i en kontaktformular på din hjemmeside og indholdet er følsomt og omhandler problemer med helbredet og problemer, som klienten har på jobbet. Har du sikret din kontaktformular overfor at omverdenen -ude på nettet – kan kigge med? Hvordan svarer du hende? På en e-mail? . .

Her kan du læse om hvordan du digitalt kan sende følsomme oplysninger til din klient på en sikker måde.

Du må gerne sende personoplysninger på mail uden at kryptere e-mailen..

Du må ikke sende følsomme personoplysninger over mails eller netværk, “som du ikke har fuld kontrol over”. Mails med sådanne oplysninger – og fortrolige oplysninger – skal sikres (krypteres), så det kun er dig og modtageren, der kan læse dem.

Hvordan gør du?

  1. Krypter dine emails. Dvs brug Digital Post eller brug en forbindelse, der krypterer det overførte indhold (=mailen) under hele transporten på internettet fra dig til modtageren.
  2. Krypter eventuelt kun en fil med oplysningerne – og vedhæft den i en mail, hvor du kun henviser til filens indhold og ikke omtaler nogle følsomme personoplysninger eller fortrolige data i selv mailen. Det er noget nemmere end kryptering af mailen – se pkt 1 – siges det. Jeg ved ikke om dette holder 100 %, men det er både nemmere og billigere end at skulle kryptere sine e-mails.

Beslut dig for hvordan du vil svare f.eks. på en email til dig fra din klient med personfølsomme data på f.eks. vedkommendes barn eller klienten selv. Og husk at oplyse dine klienter om, at fortrolige eller følsomme personoplysninger i en mail til dig ikke er sikret for at andre kan kigge med på internettet. Men . . .  det er stadig dig, der skal sørge for at datasikkerheden er opfyldt.

Overvej om du vil sende følsomme og fortrolige oplysninger over mails. Hvis du vil bruge e-mails, så skal du afklare hvilken løsning, der skal anvendes til beskyttelse af data f.eks. Digital Post, kryptering via Nem ID, E-boks, Penneo, Visma Addo, Esignatur mm. Listen er ikke udtømmende.

Hvad er følsomme personoplysninger? Det er alle nedennævnte oplysninger om identificerbare personer:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Husk: Mails med fortrolige oplysninger skal også krypteres.

Følsomme oplysninger vil altid være fortrolige oplysninger, men fortrolige oplysninger f.eks. indtægtsforhold eller personnummer – vil ikke altid være en følsom oplysning.

Hvad er fortrolige oplysninger er:

  • Personnummer
  • Strafbare forhold
  • Indtægts- og formueforhold
  • Arbejdsforhold
  • uddannelsesforhold
  • Ansættelsesmæssige forhold (løn mm.)
  • Interne familieforhold, herunder oplysninger om feks. selvmordsforsøg og ulykkestilfælde.

Findes der oplysninger, der er personlige, men som ikke har fortrolig karakter? Ja det gør der. Oplysninger som kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter (f.eks. oplysninger om udstedelse af pas, kørekort, jagttegn o.s.v.

 

 

 

 

Din kliniks Facebookside – bordet fanger!

Har du en Facebook-firmaside?

Altså sådan en som f.eks. Mindtime Soul Guide?

Hvor besøgende kan gå ind og få lidt inspiration fra dig?

Hvor du skriver om dine behandlinger og ydelser for eksempel?

Den nye persondataforordning har medført at den enkelte virksomhed, som f.eks. Mindtime-Soul Guide, der har firmasider på facebook bliver ansvarlig for de handlinger (analyser, undersøgelser, lagring etc) som Facebook foretager. dvs virksomheden er ansvarlig, så snart der bare er besøgende på din side.

Hvad betyder det så for dig?

Det betyder, at når f.eks. oplysningspligt om indsigt, indsigelse eller sletning ikke overholdes bliver virksomheden ansvarlig overfor den enkelte besøgende – fra besøgstidspunktet.

  • Du er sammen med facebook fælles ansvarlig for at overholde reglerne i persondataforordningen.
  • Du skal sikre at besøgende på siden får information om persondatapolitikken og evt. samtykke.
  • Der skal indgås en databehandler-aftale med Facebook.
  • Personer der besøger firmasiden kan udøve retten til indsigt, retten til at gøre indsigelse eller sletning
  • Dig og Facebook hæfter solidarisk i forhold til erstatningsansvar for behandling af personoplysninger. Dvs at den der føler sig forurettet, selv må vælge hvem han/hun vil rette erstatningskravet hos: dig eller Facebook.

Mon ikke Facebook er i fuld gang med at finde løsninger for alle os der har Facebooksider? og f.eks. holder os skadesløse for Facebooks indsamlinger og bearbejdning af data, eller ved databrud? Det kan vi da kun håbe, for hvem kan undvære Facebooksider. .