Datatilsynet offentliggør ny tekst om transmission af persondata via SMS

16.08.19

Datatilsynet har i løbet af sommeren offentliggjort den længe ventede tekst om generelle problemstillinger ved brug af SMS. Teksten afdækker både offentlige myndigheders og private virksomheders rettigheder og pligter, når der transmitteres persondata vis SMS.

Datatilsynet fastslår indledningsvist, at Databeskyttelsesforordningens udgangspunkt er, at behandling af persondata er forbundet med risici for de registrerede personers rettigheder og frihedsrettigheder, og at der således altid skal etableres et sikkerhedsniveau, som passer til de konkrete risici.

Datatilsynets generelle opfattelse er, at der, for så vidt angår SMS, er en meget høj og konkret risiko, særligt i forhold til:

• Ægtheden af afsenderoplysningerne,
• at SMS-beskeder ikke kan krypteres, samt
• at det er teknisk muligt at indgå som et led i kæden af mobiltelefonantennestationer, og dermed kan oplysninger tilgås (hacking).

De nævnte konkrete faremomenter skal indgå som en del af den risikovurdering, en dataansvarlig skal foretage i forbindelse med en eventuel persondatabehandling via SMS.

Som følge af den betydelige risiko, der er for den enkelte registrerede person, anbefaler Datatilsynet grundlæggende set, at SMS-beskeder ikke anvendes til egentlig sagsbehandling, ligesom indhold med følsomme og fortrolige oplysninger ikke må sendes via SMS. Dette er en ændring af Datatilsynets tidligere praksis.

Kan SMS så overhovedet bruges længere?
Baggrunden for ændringen i Datatilsynets praksis er, at SMS-beskeder, ligesom e-mails, kan være underlagt et krypteringskrav, hvilket på det nuværende tekniske udviklingsstadie ikke er muligt for afsenderen at overholde.

I den virkelige verden betyder ændringen således blandt andet, at der ikke må sendes billeder af kørekort og pas eller gældsoplysninger, helbredsoplysninger, mv. via SMS, når der behandles personoplysninger.

På den anden side, er det fortsat muligt at give kortere servicebeskeder eller påmindelser, der alene indeholder almindelige persondata via SMS. Det vil eksempelvis være tilladt at sende følgende oplysninger via SMS:

• ”Husk din aftale [dato/kl.] hos lægen, [adresse]. Evt. afbud skal meldes på [tlf.nr./e-mailadresse].”
• ”Husk din aftale [dato/kl.] hos frisøren [adresse]. Evt. afbud skal meldes på [tlf.nr./e-mailadresse].”
• ”Vi kan med glæde oplyse dig om, at din pakke fra [navn] er ankommet og kan afhentes hos [adresse] indtil [dato].”
• ”Husk, at vi skal bruge dine personlige oplysninger til brug for hvidvask. Du kan uploade dem på vores hjemmeside [www.xxx.dk], venlig hilsen [navn]”
• ”Husk dit spinninghold [dato/kl.] hos [træningsstudie]. Afbud skal ske senest to timer før holdstart. Vi glæder os til at se dig.”