Känsliga personuppgifter i E-post
Integritetsskyddsmyndigheten har i beslut den 4 april, efter tillsyn mot Justitiekanslern, konstaterat att Justitiekanslern behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen genom att inte vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att obehöriga inte kan ta del av känsliga personuppgifter som skickats via e-post. I beslutet, som går i linje med Integritetsskyddsmyndighetens tidigare beslut i liknande ärenden, tydliggörs kravet på lämplig säkerhetsnivå när känsliga personuppgifter skickas via e-post.
Beslutet avser ett e-postmeddelande som Justitiekanslern skickat till en klagande i ett mål om en annan statlig myndighets bristande hantering av känsliga personuppgifter (för att använda sig av tennis-terminologi, dubbelfel således). E-postmeddelandet innehöll bilagor som i sin tur innehöll bland annat känsliga personuppgifter om klagandens hälsa (vilket är att betrakta som en s.k. särskild kategori av personuppgifter enligt artikel 9 GDPR) och klagandens personnummer.
Av ärendet framgår att Justitiekanslern inte gjorde någon särskild bedömning av lämpligheten att skicka aktuella personuppgifter via e-post till klaganden i det enskilda fallet. Justitiekanslern använder dock krypteringsskydd som standard (TLS1.2) för all sin utgående e-post. Krypteringslösningen innebär att e-postmeddelandet krypterades under själva överföringen mellan Justitiekanslern och klaganden.
Integritetsmyndigheten konstaterade att Justitiekanslern genom sin krypteringslösning visserligen krypterat e-postmeddelandet under överföringen, men att det inte förhindrar obehöriga från att kunna ta del av e-postmeddelandet i klartext efter själva överföringen. Det anges också att det inte finns något som säkerställer att e-posten verkligen når rätt mottagare, det finns alltså ingen stark autentisering som säkerställer att det verkligen når fram till just den individ som avses.
Integritetsmyndigheten tog i sin bedömning fasta på att det rörde sig om känsliga och särskilt skyddsvärda personuppgifter och att uppgifterna i e-postmeddelandet därför var av en sådan art att de krävde ett starkare skydd än som använts.
En intressant del i Integritetsskyddsmyndighetens bedömning är att myndigheten synes ha lagt stor vikt vid att Justitiekanslern har interna riktlinjer av vilka framgår att känsliga personuppgifter och andra uppgifter som annars är av särskilt känslig art inte får kommuniceras via e-post utan att skyddas av kryptering på så sätt att det säkerställs att endast den avsedda mottagaren kan ta del av e-postmeddelandet. Justitiekanslern hade således själv identifierat de risker som behandlingen av känsliga personuppgifter och särskilt skyddsvärda personuppgifter i e-post medför, men inte vidtagit tillräckliga åtgärder för att följa riktlinjerna vid det aktuella tillfället.
Detta förhållande torde inte vara helt ovanligt, ofta används e-post som det enda kommunikationsmedlet oavsett innehåll. Krypteringslösningar som verkligen når end-till-end dvs. hela vägen från avsändare till mottagare är komplicerat att uppnå i en e-postlösning, särskilt när mottagaren ska kunna vara vem som helst (i motsats till t.ex. inom en egen organisation eller samarbetspartners).
Detta beslut är endast ett av flera där Integritetsskyddsmyndigheten kommit fram till samma slutsatser. Myndigheten har gjort liknande avvägningar mot Regionstyrelsen i Region Uppsala och Umeå Universitet. Samtliga berörde överföringen av känsliga personuppgifter och personnummer via e-post och bristen på skydd av dessa.
Det finns således anledning för samtliga organisationer, såväl offentliga som privata, att se över hur kommunikationen sker via e-post, vilka typer av informationsmängder man överför där samt hur dessa informationsmängder skyddas.
Refererade beslut:
Justitiekanslern: (beslutet ej publicerat på IMY:s webbplats. Diarienummer DI-2022-477, 2022-04-04)
Region Uppsala: https://www.imy.se/nyheter/sanktionsavgift-mot-region-uppsala-som-brustit-i-sin-sakerhet/
Umeå universitet: https://www.imy.se/nyheter/universitet-brast-i-skyddet-av-kansliga-personuppgifter/