Myndigheter som skickar känsliga personuppgifter via e-post måste använda kryptering och dessutom säkerställa att mottagaren är den rätta. Det är innebörden av ett nytt beslut från Datainspektionen.

– Det är egentligen ingen ny bedömning, men det är första gången vi formulerar det i ett beslut, säger Magnus Bergström, it-säkerhetsspecialist på Datainspektionen.

Ärendet gäller socialnämnden i Nacka kommun. På begäran av ett barns förälder skickades ett dokument till föräldern som bilaga i ett mejl. Med en funktion i ordbehandlingsprogrammet kunde föräldern ta fram känsliga uppgifter om ett annat barn än sitt eget. Man hade nämligen använt ett gammalt dokument som mall för det nya.

Datainspektionen förelägger nu socialnämnden i Nacka att i fortsättningen kryptera känsliga personuppgifter som skickas över internet. Man måste även säkerställa att det bara är den rätta mottagaren som tar del av uppgifterna. Föreläggandet bygger på personuppgiftslagens 31 paragraf och ska ses som vägledande också för andra myndigheter.

– Myndigheterna erbjuder fler och fler tjänster och därför är det viktigt att gå ut med en lägsta tekniska standard, säger inspektionens generaldirektör Göran Gräslund.

Att det rör sig just om en socialnämnd har förvisso vägts in i beslutet, men det är uppgifternas art som är viktigast.

– Samma sak gäller exempelvis för läkare. Du får inte skicka labbresultat eller liknande med e-post, säger Magnus Bergström.

Datainspektionen tror inte heller att socialnämnden i Nacka är ensamma om det vårdslösa mejlandet.

– Jag tror att det förekommer på fler ställen. E-post är så praktiskt, särskilt om man får en fråga som man bara svarar på. Men det är inte det lämpligaste mediet för att förmedla den här typen av uppgifter, säger Magnus Bergström.

En bättre metod är att använda en webbaserad tjänst, där det är lättare att kryptera och där mottagarens identitet kan säkerställas med hjälp av exempelvis en e-legitimation.

– Det gör det enklare att tillgodose kraven på säkerhet, säger Magnus Bergström.

Fakta

Enligt 31 § personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är.