Har du husket at nedskrive en politik for lagring af e-mail? Det bør du gøre straks

Klumme: Hvor længe opbevarer I mon en medarbejders e-mails, efter vedkommende er fratrådt? Det er en god ide at udarbejde en nedskrevet mailpolitik.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Tidligere på måneden var flere sager om backup af e-mails oppe i medierne. Eller rettere: Manglende backup.

Det drejede sig blandt andet om Tibet-sagen, hvor mails hos politiet var blevet slettet, efter at medarbejderne var fratrådt.

Jeg har ikke nærmere kendskab til den konkrete sag, så den vil jeg ikke kommentere. Men jeg har før stødt på problemer vedrørende opbevaring og sletning af e-mails.

Det handler om, hvor længe en arbejdsgiver bør opbevare en fratrådt medarbejders e-mails.

Vi taler altså om mails, der er sendt og modtaget som led i ens arbejde – ikke private mails fra en privat mailadresse.

Men private mails sendt fra arbejdsmailen indgår nødvendigvis også i noget, der hurtigt bliver til et meget mudret billede.

Hvad ligger der i din mailboks? Hvis den ligner min, er det en syndig blanding af arbejdsrelaterede mails, uopfordrede henvendelser, det rene spam og diverse mails, der strengt taget burde være sendt til min private e-mail.

Måske har du også mails, der vedrører ansættelser og personalesager.

Arbejdsgiveren har lov til at overvåge indholdet af medarbejdernes e-mails. Det kræver blot, at medarbejderne bliver orienteret om det, for eksempel via en personalehåndbog, der forudsættes læst.

Fint nok, så længe man er ansat. Men hvad så bagefter?

Hvor længe skal vi gemme mails?
Jeg har selv som informationssikkerhedschef været involveret i en sag, hvor en fratrådt medarbejder bad om at få adgang til sine gamle mails.

Men det kunne vi ikke hjælpe med, da de var slettet. Havde vi slettet dem for hurtigt?

Indtil databeskyttelsesforordningen bliver håndhævet efter 25. maj, er området reguleret af persondataloven.

Desværre siger den ikke noget specifikt om e-mail.

Persondataloven taler helt generelt om opbevaring og sletning i §5 stk. 5:

"Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles."

Hvilke formål har en virksomhed eller myndighed med at opbevare e-mails fra en fratrådt medarbejder?

Jeg mener, at det primært handler om at kunne samle op på arbejdsopgaver og give dem videre til andre medarbejdere. Det kan vel klares på en måneds tid.

Skal man være forberedt på en personalesag, taler vi måske om et halvt års tid.

Det kunne godt være fristende at gemme data længere. Så kan man altid søge i mail-arkivet, hvis der bliver behov for det. Men her stiller indbakkens karakter af rodebunke sig i vejen.

For e-mails indeholder ikke kun personoplysninger om den, der har kontoen. Der er som minimum også mailadresser på dem, medarbejderen korresponderer med.

Og ofte vil der være meget mere: Tilbud, forhandlinger om kontrakter, sladder om kolleger, et password til firmaets Twitter-konto og lignende. Så der kan sagtens ligge både personoplysninger og andre fortrolige informationer i e-mails.

Skriv en politik
Mit bedste råd lyder derfor: Vær forberedt.

Jeg anbefaler, at organisationer og virksomheder udarbejder en decideret politik for e-mails. Her kan man læse sig til, hvordan e-mails håndteres under ansættelsen og efter dens ophør.

Politikken skal for eksempel indeholde regler om:

• Hvad mailsystemet må bruges til – herunder private beskeder.

• Hvorvidt arbejdsgiveren overvåger brugen af e-mail.

• Hvorvidt der gemmes en sikkerhedskopi af e-mails.

• Hvor længe e-mails opbevares, efter medarbejderen er fratrådt.

• Under hvilke betingelser arbejdsgiveren kan tilgå e-mails, efter medarbejderen er fratrådt.

Til det sidste punkt kan man overveje en regel om, at mailboksen kun må åbnes af chefen sammen med en tillidsrepræsentant.

Arkiv uden sletning
I nogle sager har det været fremme, at medarbejdere muligvis har slettet e-mails, som de ikke ønskede skulle komme frem ved en senere undersøgelse.

Det kan man beskytte sig mod ved at indføre en backup, der placeres på serverniveau. Så lagres alle mails, så snart de modtages eller afsendes. Medarbejderen kan slette dem fra sin egen mailboks, men de ligger stadig i arkivet.

Sådan et arkiv skal imidlertid også overholde kravene om beskyttelse af persondata. For øjeblikket er det kravene i persondataloven, lige om lidt i databeskyttelsesforordningen (GDPR).

Jeg har set meget forskellige tilgange til spørgsmålet om lagring af e-mails. Nogle organisationer har udarbejdet en politik. Nogle har en integration mellem mailsystemet og dokumenthåndteringssystemet, så det er let at journalisere e-mails.

Andre har øjensynlig ikke taget stilling. Men det bliver de snart nødt til. Ikke mindst, når databeskyttelsesforordningen træder i kraft.


DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Blockchain: Fremtidens betalingsløsninger

Blockchain-teknologien er på vej ind i betalingsmiljøerne og har potentialet til at sikre og effektivisere betalingsmetoderne i høj grad. Potentialet er enormt. Men hvordan kommer du i gang? Og hvordan finder du de lavthængende frugter? Det får du svar på på dette Computerworldevent

21. marts 2019 | Læs mere


Robot Process Automation (RPA) - sådan høster du gevinsterne

Fremtidens digitale vindere fokuserer på at nedbringe driftsomkostningerne radikalt gennem digitaliserede ’touchless operations’, hvor kun undtagelser behandles manuelt, og hvor automatisering og kunstig intelligens spiller sømløst sammen. Kom og hør mere om RPA og softwarerobotter - hvordan ser teknologien ud og hvordan kommer du i gang?

26. marts 2019 | Læs mere


Mød NNIT og kom med på en rejse fra Excel-drevet budgetproces til ægte corporate performance management

På dette event får du netop en introduktion til digitalisering af CPM (Corporate Performance Management) og BI (Business Intelligence), uden at du skal vinke farvel til Excel. Du vil få introduktion til software, der omfavner Excel og optimerer dine nuværende planning-, forecasting-, og konsolideringsprocesser.

27. marts 2019 | Læs mere






Premium
Midt i spionage-rygter og mediestorm: Computerworld besøger Huawei i Kina - tag med på besøg hos det måske mest omstridte tech-firma lige nu
Reportage, Shenzhen: “Exacting, rigorous, tests drive learning, all for real battles.” Computerworld er taget på besøg i det gigantiske hovedkvarter for verdens måske mest omtalte tech-selskab lige nu
Computerworld
Google slipper første version af Android 10 løs: Her er de vigtigste nyheder
Tiende version af styresystemet Android er ude i sin første betaversion: Her er de nye funktioner, som systemsoftwaren vil byde på.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Dine Office 365 data er ikke sikre i skyen!
Hvis din virksomhed er blandt det hastigt voksende felt af virksomheder, som har migreret til Office 365, så kender du allerede til de mange fordele, der er ved Microsofts cloud-baserede suite. Men er du også klar over din organisations ansvar for at kontrollere og styre dine Office 365 data? Du tror måske, at der er back-up på dine gemte Office 365 data i skyen, men dette er desværre en forkert perception. Hvad hvis en medarbejder ved en fejl sletter en vigtig mail eller en vital rapport? Eller hvad hvis en utilfreds medarbejder gør det med vilje? Det er ikke kun denne slags fejl eller onde handlinger, du skal bekymre dig om, for de begrænsede sikkerhedspunkter der er bygget ind i Office 365 gør, at I er meget sårbare. I dette white paper bliver du klogere på, hvordan I kan sikre jer og undgå at ovenstående scenarie udfolder sig.