Har du husket at nedskrive en politik for lagring af e-mail? Det bør du gøre straks

Hvor længe opbevarer I mon en medarbejders e-mails, efter vedkommende er fratrådt? Det er en god ide at udarbejde en nedskrevet mailpolitik.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Tidligere på måneden var flere sager om backup af e-mails oppe i medierne. Eller rettere: Manglende backup.

Det drejede sig blandt andet om Tibet-sagen, hvor mails hos politiet var blevet slettet, efter at medarbejderne var fratrådt.

Jeg har ikke nærmere kendskab til den konkrete sag, så den vil jeg ikke kommentere. Men jeg har før stødt på problemer vedrørende opbevaring og sletning af e-mails.

Det handler om, hvor længe en arbejdsgiver bør opbevare en fratrådt medarbejders e-mails.

Vi taler altså om mails, der er sendt og modtaget som led i ens arbejde – ikke private mails fra en privat mailadresse.

Men private mails sendt fra arbejdsmailen indgår nødvendigvis også i noget, der hurtigt bliver til et meget mudret billede.

Hvad ligger der i din mailboks? Hvis den ligner min, er det en syndig blanding af arbejdsrelaterede mails, uopfordrede henvendelser, det rene spam og diverse mails, der strengt taget burde være sendt til min private e-mail.

Måske har du også mails, der vedrører ansættelser og personalesager.

Arbejdsgiveren har lov til at overvåge indholdet af medarbejdernes e-mails. Det kræver blot, at medarbejderne bliver orienteret om det, for eksempel via en personalehåndbog, der forudsættes læst.

Fint nok, så længe man er ansat. Men hvad så bagefter?

Hvor længe skal vi gemme mails?

Jeg har selv som informationssikkerhedschef været involveret i en sag, hvor en fratrådt medarbejder bad om at få adgang til sine gamle mails.

Men det kunne vi ikke hjælpe med, da de var slettet. Havde vi slettet dem for hurtigt?

Indtil databeskyttelsesforordningen bliver håndhævet efter 25. maj, er området reguleret af persondataloven.

Desværre siger den ikke noget specifikt om e-mail.

Persondataloven taler helt generelt om opbevaring og sletning i §5 stk. 5:

"Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles."

Hvilke formål har en virksomhed eller myndighed med at opbevare e-mails fra en fratrådt medarbejder?

Jeg mener, at det primært handler om at kunne samle op på arbejdsopgaver og give dem videre til andre medarbejdere. Det kan vel klares på en måneds tid.

Skal man være forberedt på en personalesag, taler vi måske om et halvt års tid.

Det kunne godt være fristende at gemme data længere. Så kan man altid søge i mail-arkivet, hvis der bliver behov for det. Men her stiller indbakkens karakter af rodebunke sig i vejen.

For e-mails indeholder ikke kun personoplysninger om den, der har kontoen. Der er som minimum også mailadresser på dem, medarbejderen korresponderer med.

Og ofte vil der være meget mere: Tilbud, forhandlinger om kontrakter, sladder om kolleger, et password til firmaets Twitter-konto og lignende. Så der kan sagtens ligge både personoplysninger og andre fortrolige informationer i e-mails.

Skriv en politik

Mit bedste råd lyder derfor: Vær forberedt.

Jeg anbefaler, at organisationer og virksomheder udarbejder en decideret politik for e-mails. Her kan man læse sig til, hvordan e-mails håndteres under ansættelsen og efter dens ophør.

Politikken skal for eksempel indeholde regler om:

  • Hvad mailsystemet må bruges til – herunder private beskeder.
  • Hvorvidt arbejdsgiveren overvåger brugen af e-mail.
  • Hvorvidt der gemmes en sikkerhedskopi af e-mails.
  • Hvor længe e-mails opbevares, efter medarbejderen er fratrådt.
  • Under hvilke betingelser arbejdsgiveren kan tilgå e-mails, efter medarbejderen er fratrådt.

Til det sidste punkt kan man overveje en regel om, at mailboksen kun må åbnes af chefen sammen med en tillidsrepræsentant.

Arkiv uden sletning

I nogle sager har det været fremme, at medarbejdere muligvis har slettet e-mails, som de ikke ønskede skulle komme frem ved en senere undersøgelse.

Det kan man beskytte sig mod ved at indføre en backup, der placeres på serverniveau. Så lagres alle mails, så snart de modtages eller afsendes. Medarbejderen kan slette dem fra sin egen mailboks, men de ligger stadig i arkivet.

Sådan et arkiv skal imidlertid også overholde kravene om beskyttelse af persondata. For øjeblikket er det kravene i persondataloven, lige om lidt i databeskyttelsesforordningen (GDPR).

Jeg har set meget forskellige tilgange til spørgsmålet om lagring af e-mails. Nogle organisationer har udarbejdet en politik. Nogle har en integration mellem mailsystemet og dokumenthåndteringssystemet, så det er let at journalisere e-mails.

Andre har øjensynlig ikke taget stilling. Men det bliver de snart nødt til. Ikke mindst, når databeskyttelsesforordningen træder i kraft.


Oprindelig bragt på Computerworld Online den 28. marts 2018