Artikel top billede

Har du husket at nedskrive en politik for lagring af e-mail? Det bør du gøre straks

Klumme: Hvor længe opbevarer I mon en medarbejders e-mails, efter vedkommende er fratrådt? Det er en god ide at udarbejde en nedskrevet mailpolitik.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Tidligere på måneden var flere sager om backup af e-mails oppe i medierne. Eller rettere: Manglende backup.

Det drejede sig blandt andet om Tibet-sagen, hvor mails hos politiet var blevet slettet, efter at medarbejderne var fratrådt.

Jeg har ikke nærmere kendskab til den konkrete sag, så den vil jeg ikke kommentere. Men jeg har før stødt på problemer vedrørende opbevaring og sletning af e-mails.

Det handler om, hvor længe en arbejdsgiver bør opbevare en fratrådt medarbejders e-mails.

Vi taler altså om mails, der er sendt og modtaget som led i ens arbejde – ikke private mails fra en privat mailadresse.

Men private mails sendt fra arbejdsmailen indgår nødvendigvis også i noget, der hurtigt bliver til et meget mudret billede.

Hvad ligger der i din mailboks? Hvis den ligner min, er det en syndig blanding af arbejdsrelaterede mails, uopfordrede henvendelser, det rene spam og diverse mails, der strengt taget burde være sendt til min private e-mail.

Måske har du også mails, der vedrører ansættelser og personalesager.

Arbejdsgiveren har lov til at overvåge indholdet af medarbejdernes e-mails. Det kræver blot, at medarbejderne bliver orienteret om det, for eksempel via en personalehåndbog, der forudsættes læst.

Fint nok, så længe man er ansat. Men hvad så bagefter?

Hvor længe skal vi gemme mails?

Jeg har selv som informationssikkerhedschef været involveret i en sag, hvor en fratrådt medarbejder bad om at få adgang til sine gamle mails.

Men det kunne vi ikke hjælpe med, da de var slettet. Havde vi slettet dem for hurtigt?

Indtil databeskyttelsesforordningen bliver håndhævet efter 25. maj, er området reguleret af persondataloven.

Desværre siger den ikke noget specifikt om e-mail.

Persondataloven taler helt generelt om opbevaring og sletning i §5 stk. 5:

"Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles."

Hvilke formål har en virksomhed eller myndighed med at opbevare e-mails fra en fratrådt medarbejder?

Jeg mener, at det primært handler om at kunne samle op på arbejdsopgaver og give dem videre til andre medarbejdere. Det kan vel klares på en måneds tid.

Skal man være forberedt på en personalesag, taler vi måske om et halvt års tid.

Det kunne godt være fristende at gemme data længere. Så kan man altid søge i mail-arkivet, hvis der bliver behov for det. Men her stiller indbakkens karakter af rodebunke sig i vejen.

For e-mails indeholder ikke kun personoplysninger om den, der har kontoen. Der er som minimum også mailadresser på dem, medarbejderen korresponderer med.

Og ofte vil der være meget mere: Tilbud, forhandlinger om kontrakter, sladder om kolleger, et password til firmaets Twitter-konto og lignende. Så der kan sagtens ligge både personoplysninger og andre fortrolige informationer i e-mails.

Skriv en politik

Mit bedste råd lyder derfor: Vær forberedt.

Jeg anbefaler, at organisationer og virksomheder udarbejder en decideret politik for e-mails. Her kan man læse sig til, hvordan e-mails håndteres under ansættelsen og efter dens ophør.

Politikken skal for eksempel indeholde regler om:

• Hvad mailsystemet må bruges til – herunder private beskeder.

• Hvorvidt arbejdsgiveren overvåger brugen af e-mail.

• Hvorvidt der gemmes en sikkerhedskopi af e-mails.

• Hvor længe e-mails opbevares, efter medarbejderen er fratrådt.

• Under hvilke betingelser arbejdsgiveren kan tilgå e-mails, efter medarbejderen er fratrådt.

Til det sidste punkt kan man overveje en regel om, at mailboksen kun må åbnes af chefen sammen med en tillidsrepræsentant.

Arkiv uden sletning

I nogle sager har det været fremme, at medarbejdere muligvis har slettet e-mails, som de ikke ønskede skulle komme frem ved en senere undersøgelse.

Det kan man beskytte sig mod ved at indføre en backup, der placeres på serverniveau. Så lagres alle mails, så snart de modtages eller afsendes. Medarbejderen kan slette dem fra sin egen mailboks, men de ligger stadig i arkivet.

Sådan et arkiv skal imidlertid også overholde kravene om beskyttelse af persondata. For øjeblikket er det kravene i persondataloven, lige om lidt i databeskyttelsesforordningen (GDPR).

Jeg har set meget forskellige tilgange til spørgsmålet om lagring af e-mails. Nogle organisationer har udarbejdet en politik. Nogle har en integration mellem mailsystemet og dokumenthåndteringssystemet, så det er let at journalisere e-mails.

Andre har øjensynlig ikke taget stilling. Men det bliver de snart nødt til. Ikke mindst, når databeskyttelsesforordningen træder i kraft.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




IT-JOB

Cognizant Technology Solutions Denmark ApS

SAP Project Manager

Udviklings- og Forenklingsstyrelsen

Projektleder
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere