Har du husket at nedskrive en politik for lagring af e-mail? Det bør du gøre straks

Klumme: Hvor længe opbevarer I mon en medarbejders e-mails, efter vedkommende er fratrådt? Det er en god ide at udarbejde en nedskrevet mailpolitik.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Tidligere på måneden var flere sager om backup af e-mails oppe i medierne. Eller rettere: Manglende backup.

Det drejede sig blandt andet om Tibet-sagen, hvor mails hos politiet var blevet slettet, efter at medarbejderne var fratrådt.

Jeg har ikke nærmere kendskab til den konkrete sag, så den vil jeg ikke kommentere. Men jeg har før stødt på problemer vedrørende opbevaring og sletning af e-mails.

Det handler om, hvor længe en arbejdsgiver bør opbevare en fratrådt medarbejders e-mails.

Vi taler altså om mails, der er sendt og modtaget som led i ens arbejde – ikke private mails fra en privat mailadresse.

Men private mails sendt fra arbejdsmailen indgår nødvendigvis også i noget, der hurtigt bliver til et meget mudret billede.

Hvad ligger der i din mailboks? Hvis den ligner min, er det en syndig blanding af arbejdsrelaterede mails, uopfordrede henvendelser, det rene spam og diverse mails, der strengt taget burde være sendt til min private e-mail.

Måske har du også mails, der vedrører ansættelser og personalesager.

Arbejdsgiveren har lov til at overvåge indholdet af medarbejdernes e-mails. Det kræver blot, at medarbejderne bliver orienteret om det, for eksempel via en personalehåndbog, der forudsættes læst.

Fint nok, så længe man er ansat. Men hvad så bagefter?

Hvor længe skal vi gemme mails?
Jeg har selv som informationssikkerhedschef været involveret i en sag, hvor en fratrådt medarbejder bad om at få adgang til sine gamle mails.

Men det kunne vi ikke hjælpe med, da de var slettet. Havde vi slettet dem for hurtigt?

Indtil databeskyttelsesforordningen bliver håndhævet efter 25. maj, er området reguleret af persondataloven.

Desværre siger den ikke noget specifikt om e-mail.

Persondataloven taler helt generelt om opbevaring og sletning i §5 stk. 5:

"Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles."

Hvilke formål har en virksomhed eller myndighed med at opbevare e-mails fra en fratrådt medarbejder?

Jeg mener, at det primært handler om at kunne samle op på arbejdsopgaver og give dem videre til andre medarbejdere. Det kan vel klares på en måneds tid.

Skal man være forberedt på en personalesag, taler vi måske om et halvt års tid.

Det kunne godt være fristende at gemme data længere. Så kan man altid søge i mail-arkivet, hvis der bliver behov for det. Men her stiller indbakkens karakter af rodebunke sig i vejen.

For e-mails indeholder ikke kun personoplysninger om den, der har kontoen. Der er som minimum også mailadresser på dem, medarbejderen korresponderer med.

Og ofte vil der være meget mere: Tilbud, forhandlinger om kontrakter, sladder om kolleger, et password til firmaets Twitter-konto og lignende. Så der kan sagtens ligge både personoplysninger og andre fortrolige informationer i e-mails.

Skriv en politik
Mit bedste råd lyder derfor: Vær forberedt.

Jeg anbefaler, at organisationer og virksomheder udarbejder en decideret politik for e-mails. Her kan man læse sig til, hvordan e-mails håndteres under ansættelsen og efter dens ophør.

Politikken skal for eksempel indeholde regler om:

• Hvad mailsystemet må bruges til – herunder private beskeder.

• Hvorvidt arbejdsgiveren overvåger brugen af e-mail.

• Hvorvidt der gemmes en sikkerhedskopi af e-mails.

• Hvor længe e-mails opbevares, efter medarbejderen er fratrådt.

• Under hvilke betingelser arbejdsgiveren kan tilgå e-mails, efter medarbejderen er fratrådt.

Til det sidste punkt kan man overveje en regel om, at mailboksen kun må åbnes af chefen sammen med en tillidsrepræsentant.

Arkiv uden sletning
I nogle sager har det været fremme, at medarbejdere muligvis har slettet e-mails, som de ikke ønskede skulle komme frem ved en senere undersøgelse.

Det kan man beskytte sig mod ved at indføre en backup, der placeres på serverniveau. Så lagres alle mails, så snart de modtages eller afsendes. Medarbejderen kan slette dem fra sin egen mailboks, men de ligger stadig i arkivet.

Sådan et arkiv skal imidlertid også overholde kravene om beskyttelse af persondata. For øjeblikket er det kravene i persondataloven, lige om lidt i databeskyttelsesforordningen (GDPR).

Jeg har set meget forskellige tilgange til spørgsmålet om lagring af e-mails. Nogle organisationer har udarbejdet en politik. Nogle har en integration mellem mailsystemet og dokumenthåndteringssystemet, så det er let at journalisere e-mails.

Andre har øjensynlig ikke taget stilling. Men det bliver de snart nødt til. Ikke mindst, når databeskyttelsesforordningen træder i kraft.


DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
FutureLegal

FutureLegal giver dig viden og inspiration til at imødegå fremtiden for juridiske ydelser.

28. maj 2019 | Læs mere


Intelligent proces automatisering – et vigtigt værktøj til digitalisering

Med smart sammenkobling af de ‘dumme’ softwarerobotter, procestyrings-teknologi og avanceret machine learning, har du mulighed for at skabe selvlærende robotter, der er i stand til automatisk at forbedre sig. Teknologien hedder IPA - intelligent process automization. Kom og hør om anvendelsesmulighederne - og de fem teknologier, der ligger bag IPA.

28. maj 2019 | Læs mere


Microsoft Azure: Få det maksimale ud af din cloud-platform

Azure er en af de mest populære cloud-platforme, og Microsofts løsning rummer da også mange spændende muligheder og konkrete værktøjer, der kan hjælpe din virksomhed. Kom godt i gang med at udnytte Azure ved at deltage på dette formiddagsseminar.

06. juni 2019 | Læs mere





mest debaterede artikler

Premium
Se listen: Disse ti selskaber misbruges mest i mailsvindel
Kendte brands over hele verden misbruges hver dag i svindel-mails til at narre penge og oplysninger ud af virksomheder. Men hvilke virksomhedsnavne er de mest populære at misbruge? Se hele listen her.
Computerworld
TDC ruller fiber ud til flere tusinder husstande - tilbyder gratis opkobling på disse adresser
TDC går i gang med fiber-udrulning til 2.500 husstande på Fyn og Sjælland. Se hvilket husstande, der snart får mulighed for at koble sig på.
CIO
CIO Jesper Riis fra DSV: Sådan arbejder jeg med governance så omkostninger og kompleksitet kan begrænses
Der er dømt stram governance hos Jesper Riis, CIO for verdens femtestørste transportvirksomhed. Men det er samtidig en betingelse for innovationen slår han fast. Hør mere om ledelse, performancekultur og vision hos globale DSV med de danske rødder.
Job & Karriere
"Vi var fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Det kalder jeg mit første start-up. Det blev til IT-Universitetet. "
"Da jeg var færdig med PhD´en så var vi fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Så skulle vi bare have et nyt universitet op og køre på seks måneder. Det kalder jeg mit første start-up. Det blev til IT-Universitetet."
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.