|
| Mailhotel og Persondataloven Fra : Dan MOrtensen |
Dato : 08-06-04 13:38 |
|
Hej.
Måske ikke den helt rigtige gruppe, men nu starter jeg her, så kan vi
FUT til en anden..
Hvis et firma udveksler CPR-numre via mail med enten en person, eller
et andet firma, og de evt mails der ligger på mailhotellet bliver
"hugget". Er det en sag for/mod mail-hotellet eller er det blot det
man kan kalde en sløset omgang med personlige data??
--
/Dan MOrtensen
www.hpc-nord.dk
| |
Per Christoffersen (08-06-2004)
| Kommentar Fra : Per Christoffersen |
Dato : 08-06-04 13:46 |
|
"Dan MOrtensen" <listme@listme.dsbl.org> skrev i en meddelelse
news:6mcbc0losma4guanoo88sv8233khst2thc@4ax.com...
> Hvis et firma udveksler CPR-numre via mail med enten en person, eller
> et andet firma, og de evt mails der ligger på mailhotellet bliver
> "hugget". Er det en sag for/mod mail-hotellet eller er det blot det
> man kan kalde en sløset omgang med personlige data??
Jeg tvivler på, at det er relevant ifht. Persondataloven.
CPR-numre mv, der ligger løst i diverse mails kan næppe være et register.
Om mailhotellet overhovedet skal indblandes afhænger jo meget af, hvem der
hugger mailsene, og hvordan det sker.
Kan du være lidt mere konkret?
/Per
| |
Dan MOrtensen (08-06-2004)
| Kommentar Fra : Dan MOrtensen |
Dato : 08-06-04 17:07 |
|
On Tue, 8 Jun 2004 14:45:57 +0200, "Per Christoffersen"
<pc@NIXcomonto.dk> wrote:
>> man kan kalde en sløset omgang med personlige data??
>
>Jeg tvivler på, at det er relevant ifht. Persondataloven.
>CPR-numre mv, der ligger løst i diverse mails kan næppe være et register.
>
>Om mailhotellet overhovedet skal indblandes afhænger jo meget af, hvem der
>hugger mailsene, og hvordan det sker.
Hvis nu mailhotellet hoster mail for et firma, der har et samarbejde
med fx. en læge (det kunne være en læge og et apotek - bare for at
tage et eks.). Lægen sender flere mails til apoteket, som ikke
"downloader" mailene, men lader dem ligge i mail-box'en på serveren
(de har sikkert masser af plads).
Hvis nu en eller anden finder de mails, fx. ved at bryde ind på
serveren, eller finder et password.
Det er selvfølgelig ikke et register, men måske en samling af 20+
navne og cpr-numre. Godtnok i forskellige mails..
Det er bare en tanke.. Jeg har ikke noget konkret..
--
/Dan MOrtensen
www.hpc-nord.dk
| |
per christoffersen (08-06-2004)
| Kommentar Fra : per christoffersen |
Dato : 08-06-04 22:51 |
|
"Dan MOrtensen" <listme@listme.dsbl.org> skrev i en meddelelse
news:5oobc0phu183u7bprel5utta7f6vc14o4u@4ax.com...
> On Tue, 8 Jun 2004 14:45:57 +0200, "Per Christoffersen"
> <pc@NIXcomonto.dk> wrote:
> Hvis nu en eller anden finder de mails, fx. ved at bryde ind på
> serveren, eller finder et password.
Det er her det centrale er. Indbrud på serveren eller anvendelse af et
password man ikke er retmæssig indehaver af, er ulovligt ifølge
Straffeloven.
Det er altså indbryderen, der begår noget strafbart.
Der skal så vidt jeg lige kan se ganske alvorlige fejl til, enten hos
indehaveren af mailkontoen eller mailhotellet, for at det kan få juridiske
konsekvenser (og da sandsynligvis i form af en civilsag, feks. om
erstatning, anlagt af apoteket mod mailhotellet).
Det i sig selv at have personlige oplysninger liggende i en mail på et
mailhotel kan ikke være strafbart.
Det vil (nævnt i forbifarten) jo også i princippet gøre det umuligt at sende
personlige oplysninger ad den vej eftersom alle mails på et tidspunkt vil
ligge et sted på en mailserver.
/Per
| |
Martin Schultz (09-06-2004)
| Kommentar Fra : Martin Schultz |
Dato : 09-06-04 12:17 |
|
On Tue, 08 Jun 2004 18:06:32 +0200, Dan MOrtensen wrote:
> On Tue, 8 Jun 2004 14:45:57 +0200, "Per Christoffersen"
> <pc@NIXcomonto.dk> wrote:
>
>>> man kan kalde en sløset omgang med personlige data??
>>
>>Jeg tvivler på, at det er relevant ifht. Persondataloven.
>>CPR-numre mv, der ligger løst i diverse mails kan næppe være et register.
>>
>>Om mailhotellet overhovedet skal indblandes afhænger jo meget af, hvem der
>>hugger mailsene, og hvordan det sker.
>
> Hvis nu mailhotellet hoster mail for et firma, der har et samarbejde
> med fx. en læge (det kunne være en læge og et apotek - bare for at
> tage et eks.). Lægen sender flere mails til apoteket, som ikke
> "downloader" mailene, men lader dem ligge i mail-box'en på serveren
> (de har sikkert masser af plads).
Såvidt jeg kan se så kan det kun (og det er langtfra sikkert) være apoteket
der har et problem. Det kan ikke være mailhotellets ansvar at apoteket
benytter mail kontoen på denne måde.
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.
| |
Lasse Reichstein Nie~ (09-06-2004)
| Kommentar Fra : Lasse Reichstein Nie~ |
Dato : 09-06-04 00:27 |
|
"per christoffersen" <pc@FJERNcomonto.dk> writes:
> Der skal så vidt jeg lige kan se ganske alvorlige fejl til, enten hos
> indehaveren af mailkontoen eller mailhotellet, for at det kan få juridiske
> konsekvenser (og da sandsynligvis i form af en civilsag, feks. om
> erstatning, anlagt af apoteket mod mailhotellet).
Jeg ville synes at det er uforsvarlig omgang med personfølsomme data
at sende dem i læsbart format via en tredjemands mailhotel, med mindre
man har en klar kontrakt med dem der driver mailhotellet.
Sådan læser jeg § 41 og § 42 i persondataloven.
> Det i sig selv at have personlige oplysninger liggende i en mail på et
> mailhotel kan ikke være strafbart.
Jo, hvis det gør informationerne nemt tilgængelige for tredjemand. Så har
du ikke truffet de fornødne tekniske sikkerhedsforanstaltninger mod at
oplysningerne kommer til uvedkommendes kendskab.
> Det vil (nævnt i forbifarten) jo også i princippet gøre det umuligt at sende
> personlige oplysninger ad den vej eftersom alle mails på et tidspunkt vil
> ligge et sted på en mailserver.
Ikke hvis dataene er forsvarligt krypteret under transporten.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
DHTML Death Colors: <URL: http://www.infimum.dk/HTML/rasterTriangleDOM.html>
'Faith without judgement merely degrades the spirit divine.'
| |
Per Christoffersen (09-06-2004)
| Kommentar Fra : Per Christoffersen |
Dato : 09-06-04 07:54 |
|
"Lasse Reichstein Nielsen" <lrn@hotpop.com> skrev i en meddelelse
news:ise18wcs.fsf@hotpop.com...
> Sådan læser jeg § 41 og § 42 i persondataloven.
Jeg tvivler på at din udlægning er korrekt.
For det første på at almindelig korrespondance er behandling af data i
lovens forstand (og at mail korrespondance derfor er omfattet).
Og for det andet på, at §41 (og du tænker nok specifikt på stk. 3) ikke er
opfyldt. Definitionen på 'tilstrækkeligt' kan selvfølgelig være flydende.
Men der er intet i Datatilsynets øvrige afgørelse der tyder på, at
tilstrækkeligt skal forstås på den måde at der skal opnås total sikkerhed
(hvilket også er umuligt). Tilstrækkeligt skal nok snarere tolkes som 'det
der normalt anses for tilstrækkeligt'.
/Per
| |
Dan MOrtensen (09-06-2004)
| Kommentar Fra : Dan MOrtensen |
Dato : 09-06-04 11:24 |
|
On Wed, 9 Jun 2004 08:53:48 +0200, "Per Christoffersen"
<pc@NIXcomonto.dk> wrote:
>For det første på at almindelig korrespondance er behandling af data i
>lovens forstand (og at mail korrespondance derfor er omfattet).
>
>Og for det andet på, at §41 (og du tænker nok specifikt på stk. 3) ikke er
>opfyldt. Definitionen på 'tilstrækkeligt' kan selvfølgelig være flydende.
>Men der er intet i Datatilsynets øvrige afgørelse der tyder på, at
>tilstrækkeligt skal forstås på den måde at der skal opnås total sikkerhed
>(hvilket også er umuligt). Tilstrækkeligt skal nok snarere tolkes som 'det
>der normalt anses for tilstrækkeligt'.
OK, så er vi nok også ude i overdrevet. En kontrakt om en sikker
opbevaring af mails findes ikke. Tværtimod, så "fraskriver" (hvis man
overhovedet kan det??) mailhotellet enhvert ansvar for de data der
bliver sendt igennem serveren. Både for bortkomst, og indhold.
Mon ikke det vil være svært at komme efter noget, så..??
--
/Dan MOrtensen
www.hpc-nord.dk
| |
Jonathan Stein (09-06-2004)
| Kommentar Fra : Jonathan Stein |
Dato : 09-06-04 20:50 |
|
Dan MOrtensen wrote:
> Måske ikke den helt rigtige gruppe, men nu starter jeg her, så kan vi
> FUT til en anden..
>
> Hvis et firma udveksler CPR-numre via mail med enten en person, eller
> et andet firma, og de evt mails der ligger på mailhotellet bliver
> "hugget". Er det en sag for/mod mail-hotellet eller er det blot det
> man kan kalde en sløset omgang med personlige data??
Jeg ved ikke hvor følsomt et CPR-nummer i sig selv er, men måske er
nedenstående interessant:
http://www.datatilsynet.dk/include/show.article.asp?art_id=630
M.v.h.
Jonathan
--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/
| |
Jonathan Stein (09-06-2004)
| Kommentar Fra : Jonathan Stein |
Dato : 09-06-04 20:52 |
|
Jonathan Stein wrote:
> Jeg ved ikke hvor følsomt et CPR-nummer i sig selv er, men måske er
> nedenstående interessant:
> http://www.datatilsynet.dk/include/show.article.asp?art_id=630
- som linker til
http://www.datatilsynet.dk/include/show.article.asp?art_id=532&sub_url=/Vaerd_at_vide/indhold.asp)
Hvor der specifikt står:
Efter Datatilsynets opfattelse bør der ved transmission af oplysninger
om personnumre over det åbne Internet som minimum foretages kryptering.
Der bør også foretages kryptering, hvis andre oplysninger, som må
betragtes som fortrolige (f.eks. oplysninger om økonomiske forhold
o.l.), transmitteres.
Hvis der er tale om følsomme oplysninger omfattet af persondatalovens §
7 og § 8 (f.eks. oplysninger om fagforeningsmæssige tilhørsforhold,
helbredsforhold eller strafbare forhold), skal der som minimum anvendes
en stærk kryptering, baseret på en anerkendt algoritme.
M.v.h.
Jonathan
--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/
| |
Per Christoffersen (10-06-2004)
| Kommentar Fra : Per Christoffersen |
Dato : 10-06-04 07:42 |
|
"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:40c76975$0$3047$14726298@news.sunsite.dk...
> Efter Datatilsynets opfattelse bør der ved transmission af oplysninger
> om personnumre over det åbne Internet som minimum foretages kryptering.
> Der bør også foretages kryptering, hvis andre oplysninger, som må
> betragtes som fortrolige (f.eks. oplysninger om økonomiske forhold
> o.l.), transmitteres.
Ja, så trækker jeg mine indlæg tilbage
/Per
| |
|
|