Artikel top billede

Har du husket at nedskrive en politik for lagring af e-mail? Det bør du gøre straks

Klumme: Hvor længe opbevarer I mon en medarbejders e-mails, efter vedkommende er fratrådt? Det er en god ide at udarbejde en nedskrevet mailpolitik.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Tidligere på måneden var flere sager om backup af e-mails oppe i medierne. Eller rettere: Manglende backup.

Det drejede sig blandt andet om Tibet-sagen, hvor mails hos politiet var blevet slettet, efter at medarbejderne var fratrådt.

Jeg har ikke nærmere kendskab til den konkrete sag, så den vil jeg ikke kommentere. Men jeg har før stødt på problemer vedrørende opbevaring og sletning af e-mails.

Det handler om, hvor længe en arbejdsgiver bør opbevare en fratrådt medarbejders e-mails.

Vi taler altså om mails, der er sendt og modtaget som led i ens arbejde – ikke private mails fra en privat mailadresse.

Men private mails sendt fra arbejdsmailen indgår nødvendigvis også i noget, der hurtigt bliver til et meget mudret billede.

Hvad ligger der i din mailboks? Hvis den ligner min, er det en syndig blanding af arbejdsrelaterede mails, uopfordrede henvendelser, det rene spam og diverse mails, der strengt taget burde være sendt til min private e-mail.

Måske har du også mails, der vedrører ansættelser og personalesager.

Arbejdsgiveren har lov til at overvåge indholdet af medarbejdernes e-mails. Det kræver blot, at medarbejderne bliver orienteret om det, for eksempel via en personalehåndbog, der forudsættes læst.

Fint nok, så længe man er ansat. Men hvad så bagefter?

Hvor længe skal vi gemme mails?

Jeg har selv som informationssikkerhedschef været involveret i en sag, hvor en fratrådt medarbejder bad om at få adgang til sine gamle mails.

Men det kunne vi ikke hjælpe med, da de var slettet. Havde vi slettet dem for hurtigt?

Indtil databeskyttelsesforordningen bliver håndhævet efter 25. maj, er området reguleret af persondataloven.

Desværre siger den ikke noget specifikt om e-mail.

Persondataloven taler helt generelt om opbevaring og sletning i §5 stk. 5:

"Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles."

Hvilke formål har en virksomhed eller myndighed med at opbevare e-mails fra en fratrådt medarbejder?

Jeg mener, at det primært handler om at kunne samle op på arbejdsopgaver og give dem videre til andre medarbejdere. Det kan vel klares på en måneds tid.

Skal man være forberedt på en personalesag, taler vi måske om et halvt års tid.

Det kunne godt være fristende at gemme data længere. Så kan man altid søge i mail-arkivet, hvis der bliver behov for det. Men her stiller indbakkens karakter af rodebunke sig i vejen.

For e-mails indeholder ikke kun personoplysninger om den, der har kontoen. Der er som minimum også mailadresser på dem, medarbejderen korresponderer med.

Og ofte vil der være meget mere: Tilbud, forhandlinger om kontrakter, sladder om kolleger, et password til firmaets Twitter-konto og lignende. Så der kan sagtens ligge både personoplysninger og andre fortrolige informationer i e-mails.

Skriv en politik

Mit bedste råd lyder derfor: Vær forberedt.

Jeg anbefaler, at organisationer og virksomheder udarbejder en decideret politik for e-mails. Her kan man læse sig til, hvordan e-mails håndteres under ansættelsen og efter dens ophør.

Politikken skal for eksempel indeholde regler om:

• Hvad mailsystemet må bruges til – herunder private beskeder.

• Hvorvidt arbejdsgiveren overvåger brugen af e-mail.

• Hvorvidt der gemmes en sikkerhedskopi af e-mails.

• Hvor længe e-mails opbevares, efter medarbejderen er fratrådt.

• Under hvilke betingelser arbejdsgiveren kan tilgå e-mails, efter medarbejderen er fratrådt.

Til det sidste punkt kan man overveje en regel om, at mailboksen kun må åbnes af chefen sammen med en tillidsrepræsentant.

Arkiv uden sletning

I nogle sager har det været fremme, at medarbejdere muligvis har slettet e-mails, som de ikke ønskede skulle komme frem ved en senere undersøgelse.

Det kan man beskytte sig mod ved at indføre en backup, der placeres på serverniveau. Så lagres alle mails, så snart de modtages eller afsendes. Medarbejderen kan slette dem fra sin egen mailboks, men de ligger stadig i arkivet.

Sådan et arkiv skal imidlertid også overholde kravene om beskyttelse af persondata. For øjeblikket er det kravene i persondataloven, lige om lidt i databeskyttelsesforordningen (GDPR).

Jeg har set meget forskellige tilgange til spørgsmålet om lagring af e-mails. Nogle organisationer har udarbejdet en politik. Nogle har en integration mellem mailsystemet og dokumenthåndteringssystemet, så det er let at journalisere e-mails.

Andre har øjensynlig ikke taget stilling. Men det bliver de snart nødt til. Ikke mindst, når databeskyttelsesforordningen træder i kraft.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




IT-JOB

Capgemini Danmark A/S

SAP Project Manager

Center Denmark Fonden

Cloud Engineer

Metroselskabet og Hovedstadens Letbane

BIM Coordinator
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere