Behovsanalyse

Persondataforordningen og sikker post – hvad så ?

Persondataforordningen, som trådte i kraft i maj 2018, rejser spørgsmålet om, hvorvidt man som ansvarlig (dataansvarlig) har behov for at ændre i den måde, som post sendes, når denne indeholder persondata/personfølsomme data.
Måske bruges i dag en kombination af almindelig post, e-mail, “min side” og e-Boks, hvilket med  GDPR i tankerne måske ikke er den rigtige løsning.

Forskellige måder at sende sin post på.

Almindelig post er i henhold til Persondataforordningen ikke et problem, hvilket det kan være af andre årsager som portoomkostninger, manuel håndtering og langsom forretningsgang. Måske opleves almindelig post i nogen sammenhænge også som en dårlig service i en digital tidsalder.
Post bruges måske kun på områder, hvor det ikke har kunnet betales sig at lave integration til “Min side” eller e-Boks.

e-mail er en enkel og effektiv kommunikationsform, som desværre giver en række udfordringer, idet teknologien, som e-mail er baseret på, ikke tilbyder den nødvendige sikkerhed. Derfor vil persondata og personfølsomme data sendt vie e-mail fremover i de fleste tilfælde være at betragte som et NO GO.
e-mail har også andre udfordringer som f.eks. det, at man som afsender ikke får en kvittering for, at modtager faktisk har modtaget det fremsendte, at en e-mail kan havne i et SPAM-filter, at e-mail adresser skal vedligeholdes hos afsender og det at bruge links i e-mail i dag er blevet en af de største sikkerhedsmæssige problemstillinger.

e-mail med krypteret PDF vedhæftet er en afart af det at benytte e-mail som forsendelsesform. Denne metode højner sikkerheden, men løser ikke de basale problemstillinger med at benytte e-mail samtidig med, at der skal udveksles koder, som modtager skal benytte for at kunne dekryptere fremsendte dokumenter.

Sikker e-mail, hvor kommunikationen mellem de involverede er krypteret, er en sikker kommunikationsform, hvorfor denne tilgodeser Persondataforordningens krav til sikker håndtering af data. Denne løsning tilfører desværre en teknologisk kompleksitet, hvor det kræves, at både afsender og modtager har den nødvendige tekniske opsætning herunder certifikater installeret. Dette kan sikkert fint fungere, hvis det er professionelle partnere som kommunikerer, men som en generel kommunikationsform er det et NO GO.

“Min side” er noget f.eks. banker og forsyningsselskaber benytter sig af. Man kan som kunde finde sin post via en “Min side” funktion på firmaets hjemmeside/Netbank. En sådan løsning vil normalt efterleve kravene fra Persondataforordningen, spørgsmålet er her nok mere, om man som afsender kan være sikker på, om modtager får læst den post, som der placeres i en sådan funktion. Som modtager kan det være lidt af en udfordring, hvis man skal rundt på x-antal “Min side” løsninger, for at sikre sig, at posten er læst.
“Min side” løsning er nok også bedst egnet til kunder og ikke til at håndtere post til egne medarbejdere eller samarbejdspartnere.

e-Boks tilbyder nogle muligheder, som almindelig post og e-mail ikke tilbyder samtidig med, at e-Boks er blevet en form for standard for modtagelse af “seriøs post”. At sende post i e-Boks er sikkert og efterlever Persondataforordningen.
e-Boks giver en række fordele som f.eks. kvittering for afsendelse/modtagelse, mulighed for at anvende links i breve (på en sikker måde), mulighed for digital signatur, mulighed for 2-vejskommunikation mm.
Desuden er man som afsender helt uafhængig af modtagers IT-løsning, hvilket i sig selv kan være ret ressourcebesparende.
e-Boks kræver, at man som afsender har modtagers CPR-nr. eller CVR-nr., hvilket både er en fordel og en ulempe. En fordel fordi man aldrig ændrer et CPR-nr. eller et CVR-nr., hvorfor dette ikke skal vedligeholdes af afsender og en ulempe fordi, at man netop skal have denne information til rådighed for at benytte e-Boks (som standard).

Behovsanalyse

Behovsanalysen består af 4 dele, som til sammen burde være med til at give et grundlag for valg af den løsning, som bedst understøtter jeres fremtidige behov.

1. Hvilken post/type dokumenter sendes i dag og i hvilket omfang er indholdet persondata/personfølsomme data. Samtidig skal man notere sig, hvorvidt den anvendte forsendelsesform efterlever kravene fra Persondataforordningen.

2. Hvilke IT-systemer danner posten. Kommer denne fra forskellige systemer eller fra blot et system. I denne sammenhæng vil det være fornuftigt at notere sig den mængde af breve/dokumenter, som kommer fra de enkelte systemer.

3. Er der ønsker om digitalisering af processer f.eks. at gå fra fysisk post til digital post, digital signatur på kontrakter, digital workflow hvor forsendelse og arkivering sker i en automatiseret proces etc.

4. Hvordan ønsker man at kommunikere med sine kunder, medarbejdere, partnere – fremover og hvilken kommunikationsform giver modtageren den bedste service og det bedste indtryk af afsender.

Med resultatet af behovsanalysen “i hånden” er I klar til at vælge løsning.