To SMS or not to SMS?

Ja, det kan være spørgsmålet. SMS er omfattet af GDPR ligesom e-mails. Datatilsynet har meldt ud, at offentlige myndigheder ikke må sende følsomme eller fortrolige oplysninger med SMS, men nogle gange må de godt! Forvirret? Ja, retstilstanden er ikke klar på dette område, og det gælder om ikke at træde forkert, for så falder hammeren tungt i form af millionbøder, skriver Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’.

Offentlige myndigheder må ikke sende følsomme eller fortrolige oplysninger med e-mails. Det er ikke nyt, for det har været gældende siden år 2000 og gælder pr. 1. januar 2019 også for private virksomheder. Det er fornuftigt nok, for IT-eksperter sammenligner e-mails med et åbent postkort. Oplysningerne kan opsnappes af uvedkommende og vil kunne misbruges – for eksempel CPR-numre eller oplysninger om sygdom.

Mange tænker nok ikke på, at SMS’er også er omfattet af disse regler og risikoen for, at oplysningerne havner i de forkerte hænder, er også til stede her. Derfor er det heller ikke underligt, at Datatilsynet er efter de offentlige myndigheder, som forbryder sig mod denne regel.

Se for eksempel sagen, hvor Charlotte blev både ”chokeret og fuld af undren”, da der kom en SMS fra hendes sagsbehandler på kommunen, der spurgte til nogle meget private forhold om Charlotte Dahls helbred og medicinforbrug.

Jeg kommenterede sagen i avisen.dk:

”Det er ulovligt og meget kritisabelt. Offentlige myndigheder skal beskytte folks privatliv. Oplysninger om medicin og behandling er følsomme, og hvis de flyder rundt på en usikker forbindelse, kan de blive opsnappet af andre, og så kan de kan de misbruges til at afpresse folk,” forklarer Jakob Dedenroth Bernhoft, og uddyber:

”For eksempel kan man true folk med at fortælle deres arbejdsgiver, at de er på nervemedicin, eller man kan kompromittere borgere, som stiller op til byrådet.”

Sådan er reglerne, men Datatilsynet mener alligevel, at de kan fraviges, hvor hensynet til den enkelte borger vejer tungere end reglerne om datasikkerhed.

Ingen regel uden undtagelser
Selvom persondataforordningen er klokkeklar, så har Datatilsynet meldt ud, at den godt kan fraviges i særlige situationer.

Konkret har Datatilsynet meldt ud, at forbud kan være en for stram tolkning af reglerne, når hensynene til at beskytte borgernes er tungere end hensynet til borgernes velfærd og helbred.

En sag, som har været oppe i medierne, handler om kommunikation med hjemløse.

Mange kommuner har indtil nu sendt SMS’er til hjemløse, for eksempel for at minde vedkommende om en lægeaftale om en undersøgelse for en sygdom, men det er en følsom oplysning, så den må ikke sendes pr. SMS. Omvendt, så er det erfaringen, at uden en sådan påmindelse, så glemmer vedkommende at møde op. Det kan være kritisk i forhold til den pågældendes helbred.

Så hvad er vigtigst: Hensynet til sikker kommunikation eller hjemløses helbred?

Pragmatisk tilsyn
Datatilsynet har anlagt en pragmatisk fortolkning af persondataforordningen og meldt ud, at i sådanne helt særlige tilfælde, så vejer hensynet til den udsatte borger højere end hensynet til at beskytte oplysningerne, og derfor er det tilsynets opfattelse, at man her gerne må sende en SMS.

Dette er en meget fornuftig afvejning. Der er bare et problem: Hvornår gælder forbuddet mod at sende følsomme eller fortrolige oplysninger, og hvornår gælder det ikke?

Det er ingen tvivl om, at denne fortolkning ikke åbner en ladeport for offentlige myndigheder i forhold til at sende fortrolige eller følsomme oplysninger med SMS. Tværtimod har Datatilsynet understreget, at den kun må bruges i særlige tilfælde.

Alligevel rejser det spørgsmålet om, hvornår hovedreglen om ikke at bruge SMS gælder, og hvornår den ikke gælder.

Gælder den også den også demente eller ældre borgere, hvor hukommelsen ikke altid rækker? Hvad med de mange tilfælde hvor erfaringen er, at en indkaldelse til hospitalsbesøg ligger og samler støv i e-boksen? Personligt har jeg lige misset en indkaldelse til røntgen-fotografering, fordi jeg er en af de mange, som indimellem glemmer at tjekke min e-boks ofte nok (min egen skyld).

Kan koste dyrt
Hvis en myndighed ikke rammer skiven, kan det resultere i en millionbøde og den tort at blive hængt til tørre i medierne, når datasikkerheden halter. Omvendt kan en myndighed – om end den ikke får en bøde – også blive hængt til tørre, hvis vigtig kommunikation går tabt på grund af en for restriktiv fortolkning af reglerne.

Det er lidt af en linedans og kalder absolut på mere klarhed over, hvornår SMS må bruges og hvornår det er forbudt.

PS. Jeg har nu fået en ny indkaldelse til røntgen og skal fremover nok være bedre til at tjekke min e-boks…    

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle