Billede
Sigrid Olsson, Ritzau Scanpix

Datatilsynet: Kommuner bør passe på sms'erne

Kommuner bør kun bruge sms til at sende borgere servicemeddelelser og ikke til følsomme oplysninger, vurderer Datatilsynet.

gdpr

Af Emma Oxenbøll | [email protected]

'Husk din aftale onsdag den 25. september 2019 kl. 14.00 med Varde Kommune'.

'Husk din aftale torsdag den 26. september 2019 kl. 11.00 i Misbrugscenteret'.

Sådan lyder to forholdsvis ens eksempler på, hvad kommuner kan skrive i sms’er til borgere. Alligevel er de også vidt forskellige eksempler på, hvad kommuner skrive i sms'er.

De viser nemlig, hvordan Datatilsynet fortolker grænsen for, hvad kommuner bør og ikke bør skrive af hensyn til persondatasikkerheden. Den første sms holder sig inden for grænsen, det gør den anden ikke.

'Det er Datatilsynets opfattelse, af sms er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på. Det er dog ikke et format, der skal benyttes til reel sagsbehandling', lyder det i tilsynets retningslinjer, der blev opdateret med de nye regler fra persondataforordningen (GDPR) den 25. maj 2018.

Flere risici
Tilsynet vurderer, at indhold med følsomme og fortrolige oplysninger normalt ikke skal sendes som sms, da det indebærer en række risici, som fx at sende dem til en forkert modtager, eller at andre tilgår beskederne.

Det kan være oplysninger, der konkret henviser til en diagnose, eller oplysninger, der siger noget om borgerens helbred, fx hvilken behandling borgeren skal til, eller hvor den skal foregå - det kunne være i misbrugscenteret som i eksemplet her.

Her skal kommuner også være opmærksom på ikke at angive indgang eller adresse, hvis den er knyttet til en særlig afdeling, som siger noget om borgerens helbred eller økonomiske situation.

Derfor bør kommuner heller ikke skrive, hvad påmindelsen handler om, hvis det fx er en samtale om kontanthjælp. Heller ikke hvis kommunen sms'er borgeren om, at vedkommende har fået udbetalt penge af kommunen, hvis kontanthjælpen er årsag til det.

- Det er i den forbindelse Datatilsynets opfattelse, at sms er en både brugbar og god måde at give de registrerede påmindelser og kortere servicebeskeder på, uddyber it-specialist Allan Frank i et skriv på tilsynets hjemmeside.

- Samtidig er det dog tilsynets vurdering, at transmission via sms af følsomme oplysninger og oplysninger, som skal undergives fortrolighed, normalt indebærer en så betydelig risiko for de registreredes rettigheder og frihedsrettigheder, at de ikke bør sendes som sms, skriver han.

Fortrolige oplysninger
Informationer som siger noget om borgerens økonomiske situation er fortrolige oplysninger, og de er en særlig kategori, som ikke nævnes i databeskyttelsesreglerne, men som ofte har betydning for, hvordan de bruges.

Og det er information, som kan knyttes til en bestemt person, også selvom man kun kan finde frem til den person, hvis man kombinerer informationen med andre oplysninger.

Kommuner skal altså ifølge tilsynet tænke persondatasikkerhed på en helt ny måde, når de bruger sms-beskeder. Ifølge Datatilsynet skal de have en risikobaseret tilgang til, hvad der er passende persondatasikkerhed. Som udgangspunkt skal de etablere et sikkerhedsniveau, som passer til risici:

- Der er lagt op til en mere risikobaseret tilgang til, hvad der må anses som passende sikkerhed.

- Udgangspunktet efter forordningen er, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder, og at der skal etableres et sikkerhedsniveau, som passer til de risici, skriver it-specialist i Datatilsynet Allan Frank.

Tilsynet anbefaler også, at kommuner bruger NemSMS i tilfælde af, at de vælger fortsat at kommunikere den vej.

It

Kommunikation

Tilmeld dig nyhedsbrevet