Hvordan skal man forholde sig til bestyrelsesmedlemmers brug af e-mails?
Andelsboligforeninger og ejerforeninger har som regel oprettet en bestyrelsesmail, som al korrespondance sendes til. Nogle foreninger har en dansk mail placeret på en dansk server, men indkomne mails videresendes ofte til hvert bestyrelsesmedlems personlige mail, som kan have placeret sin server alle mulige steder i verden.
Persondataforordningens regler om fremsendelse af personoplysninger til lande uden for EU
Persondataforordningen indeholder en række særlige regler for overførsel af personoplysninger til tredjelande, dvs. lande uden for EU’s grænser. Disse særlige regler er forårsaget af, at kravene til IT-sikkerhed er lavere, når man kommer uden for EU, og dermed er der en større risiko for at der er uvedkommende, der læser med, når der sendes mails ud af EU.
Hvis man ønsker at sende mails med persondata ud af EU, skal man være sikker på, at mailserveren gemmer sine data i et sikkert tredjeland. Et sikkert tredjeland er et land, som EU-Kommissionen har vurderet som sikkert fordi dette land har sørget for sikkerhedsregler, der svarer til EU’s. Sikre tredjelande er pt: Andorra, Argentina, Færøerne, Guyrnsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay.
Hvis man ønsker at sende mails med persondata ud af EU, hvor mailserveren står i et land, som ikke er et sikkert tredjeland, så skal det europæiske datatilsyns fire essentielle europæiske garantier overholdes. Disse garantier samt sikre og usikre tredjelande kan du læse mere om i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande.
Det er ikke tilladt at sende persondata ud af EU, hvis man ikke har sikret sig, at der er den fornødne sikkerhed, som persondataforordningen foreskriver, dvs. at mailserveren skal stå enten i et sikkert tredjeland eller et land, som opfylder de fire essentielle europæiske garantier.
Sender man persondata til et usikkert tredjeland, løber man en unødvendig risiko for, at der sker et brud på sikkerheden. Såfremt Datatilsynet konstaterer, at der sendes persondata ud af EU til et usikkert tredjeland, er der en stor risiko for, at foreningen bliver pålagt en bøde.
Brug af mailprogrammer
Når man skal vurdere, hvorvidt en mail er sikker at benytte eller ej, skal man undersøge, hvor i verden mailserveren er beliggende. Dette kan man se i vilkårene for brug af mailprogrammet eller den brugsaftale man har med sin mail-udbyder.
Som eksempel kan nævnes, at microsoft skriver i deres vilkår, at de opfylder EU’s persondataforordning, hvilket vil sige, at hvis man har registreret en mailadresse, som hjemmehørende i Danmark, så benytter microsoft sig af en mailserver, der står i EU.
Opretter man en bestyrelsesmail for en forening, skal man derfor starte med at sikre sig, at man benytter en udbyder, hvor mailserveren er beliggende i EU.
Derudover skal man oplyse bestyrelsen om problematikken, og opfordre alle medlemmer af bestyrelsen til at undersøge, hvor mailserveren, som det enkelte bestyrelsesmedlem benytter, er beliggende.
Bestyrelsens valg af mailprogram
Foreningen er dataansvarlig for persondata, som de behandler, og foreningen bestemmer derfor selv, hvordan de vil agere i forhold til at opfylde persondataforordningens regler. Som administrator må man rådgive bestyrelsen om konsekvensen ved at overtræde persondataforordningen, herunder risikoen for at blive pålagt bøder af Datatilsynet, tab af omdømme m.v. Man bør også opfordre bestyrelsen til kun at tilknytte en sikker mail til bestyrelsesmailen. Dvs. en mail, hvor bestyrelsesmedlemmet ved undersøgelse har slået fast, at der er tale om en mailudbyder, hvor serveren står inden for EU’s grænser.
Som administrator kan man ikke forhindre, at et bestyrelsesmedlem tilknytter en mail, som ikke er sikker. Men risikoen herfor er foreningens egen. Som administrator skal man blot sikre sig, at bestyrelsen har fået den fornødne rådgivning om konsekvensen. Man skal derfor fraråde bestyrelsen at anvende mails, der fører data ud af EU. Foreningen må så selv vurdere, om opsætningen med mulighed for videresendelse til private mails skal stoppes på grund af risikoen for, at der er et bestyrelsesmedlem, der tilknytter en usikker mail.
Hvilke udbydere overholder persondataforordningeN?
MICROSOFT:
Bruger man en e-mail eller cloudløsning, der udbydes af Microsoft, så er der tale om en udbyder, der trygt kan benyttes, da Microsoft overholder persondataforordningen.
GOOGLE:
Pr. 25. maj 2018 har Google ikke skrevet i deres privatlivsvilkår, at de overholder EU’s persondataforordning. Google skriver kun at de benytter sig af deres Privacy Shield-certificering til at overføre data til USA. Der er således stor sandsynlighed for, at google benytter servere uden for EU til at opbevare data.
Google har fire data centre i EU, så det er muligt for Google at opbevare data inden for EU, men det gælder formodentlig kun for ydelser, der betales for.
Man kan således ikke bruge googles produkter uden at sikre sig, at data opbevares inden for EU, hvilket formodentlig ikke er Googles standard.