Rutiner for e-poster med sensitive personopplysninger

Norge har fått en enda strengere personvernlovgivning. Det betyr at vi må sikre at vi har gode rutiner som ivaretar folks personvern, spesielt når det gjelder sensitive personopplysninger. En av flere viktige ting vi må ta fatt i er e-postene vi sender og mottar som inneholder sensitive personopplysninger – for eksempel om livssituasjon og diagnoser, om søkeprosesser, klagesaker, hjelpemiddeltilbud, BPA-vedtak og mye mer.

Når folk henvender seg til oss for hjelp, er det viktig å hjelpe til på best mulig måte. 
Men e-post er ikke et kommunikasjonsverktøy som ivaretar personvernhensynet for sensitive personopplysninger. E-posten kan komme på avveie og dataene spres for omverden. Det må vi gjøre alt vi kan for å unngå. 
Derfor innfører vi rutinene nedenfor:

  • Ikke send sensitive personopplysninger på epost. 
    Vil du gi informasjon om forhold tilsvarende dem nevnt over – skriv generelt og anonymt, uten å oppgi noens personopplysninger, som livssituasjon, diagnose, konkret vedtak eller liknende.

  • Ikke be om å få tilsendt sensitive personopplysninger på epost.
    Hvis enkeltpersoner skal gi deg sensitive personopplysninger må det skje per telefon, brevpost eller personlig oppmøte. Innsamling av dokumentasjon fra flere, 
    i forbindelse med f.eks. rapporter eller påmeldinger, kan gjøres via det nye spørreundersøkelsessystemet vårt, SurveyXact, som er sikret.

  • Om du mottar sensitive personopplysninger per e-post, har du et ansvar for å sikre at du ikke fortsetter en dialog med sensitivt innhold der den ikke skal være. 
    I noen tilfeller kan det være enkle henvendelser som kun krever et generelt svar og ikke vil kreve videre oppfølging, men som er krydret med personopplysninger uten at folk har tenkt seg om. 
    Dette kan f.eks. være i forbindelse med spørsmål om innmelding, deltakelse på arrangementer, ris og ros om medlemsblader eller innsamlingsaksjoner etc. 
    Andre ganger vil det dreie seg om at vi går dypere inn i saken og oppretter en dialog, som f.eks. når folk henvender seg til oss for å få hjelp med søknader, klager og tjenestetilbud, eller vil gå til media med en sak. 
    For å sikre god oppfølging i tråd med personvernreglene, kan du gjøre følgende:

    • NB! IKKE svar på den e-posten du har fått og som inneholder sensitive opplysninger! 
      Opprett en ny blank epost, slik at de innsendte opplysningene ikke fortsetter å sirkulere på e-post.

    • Send en svarmelding a la ett av forslagene nedenfor (a eller b), der du forklarer at du ikke kan behandle sensitive personopplysninger per e-post og beskriver hvordan du forholder deg videre. 
      Denne svarmeldingen kan du lagre som outlook-signatur som du bruker når du har behov for den. Velg svaralternativ og gjør de tilpasningene som er nødvendig ut fra hva slags henvendelse du har fått.

    • Trenger du informasjonen du har fått? Lagre den på et sikkert sted, det vil si et fysisk låsbart skap eller personlig/tilgangsstyrt filområde (x/z). 
      Tilgangsstyrte filområder på z er merket med bokstaven X bak navnet på mappen. Hvis du er i tvil om du har et tilgangsstyrt filområde kan du ta kontakt med din nærmeste leder.

    • Slett så mailen i outlook.

Vi vurderer å skaffe et kommunikasjonssystem som ivaretar behovet for å utveksle mer sensitiv informasjon. Inntil videre ber vi dere alle om å følge disse rutinene.

Svartekstutkast
Tusen takk for e-posten din. Jeg vil gjerne gi deg et ordentlig svar, men fordi henvendelsen inneholder sensitive personopplysninger ...
a) må vi benytte en annen og sikrere kanal enn e-post. Jeg vil derfor gjerne at du ringer meg på telefon XX XX XX XX, så vi får snakket om henvendelsen din og avtalt veien videre. (Dette alternativet bruker du når det ikke er mulig å gi en tilbakemelding uten å vise til sensitive personopplysninger)
b) svarer jeg helt generelt og uten å henvise til de personopplysningene du har oppgitt. Hvis du trenger flere svar, kan du gjerne ringe meg på telefon XX XX XX XX, så vi kan snakke om oppfølgingen videre. (Dette alternative bruker du der du kan gi en tilbakemelding på generell basis uten å vise til sensitive personopplysninger)

I Norges Handikapforbund er vi opptatt av å sikre at personopplysninger blir behandlet i henhold til lovgivningen og ikke kommer på avveie. Vil du vite mer om hvordan vi behandler personopplysninger så kan du lese her:
http://www.nhf.no/meny/om-oss/styringsdokumenter/personvern-i-norges-handikapforbund

ANDRE ARTIKLER