I forbindelse med at Databeskyttelsesforordningen træder i kraft 25. maj 2018, bortfalder den nugældende danske sikkerhedsbekendtgørelse (Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning).
Dette betyder også, at bibliotekernes dispensation vedrørende ”Elektroniske reserverings- og kvitteringsmeddelelser fra bibliotekerne” samtidig bortfalder. Datatilsynet har tilkendegivet, at tilsynet vil fremkomme med en udtalelse om emnet, men denne kommer med sikkerhed ikke før 25. maj 2018.
Kommunerne har derfor spurgt KOMBIT, hvordan dette skal håndteres i forhold til FBS efter 25. maj 2018.
Ingen specifikke krav til kryptering i forordning
Det er KOMBITs vurdering, at når reguleringen i og omkring persondataloven bortfalder, vil det alene være Databeskyttelsesforordningen – og forventeligt Databeskyttelsesloven - der finder anvendelse. Forordningen indeholder ikke specifikke krav til kryptering, men stiller krav om, at de dataansvarlige opretholder et passende niveau af sikkerhed og privatlivsbeskyttelse. De enkelte dataansvarlige skal dermed foretage en risikovurdering af, om det er passende sikkerhed for oplysninger om lånt eller reserveret materiale, at disse sendes ukrypteret over e-mail til borgerne.
Det er KOMBITs vurdering, at de hensyn, der er tilkendegivet i Datatilsynets afgørelser om dispensation, fortsat vil kunne varetages under Databeskyttelsesforordningen. Det er endvidere KOMBITs vurdering, at de faktiske forhold ikke har ændret sig afgørende, det vil sige vurderingen af, at de løsninger, der gør et muligt at sende krypteret til borgerne, ikke er tilstrækkeligt brugervenlige pt., sammenholdt med, at brugerne er tilfredse med den nuværende løsning og ikke efterspørger yderligere sikkerhed.
KOMBIT vurderer således umiddelbart, at de hensyn, der indgår i den gældende dispensation, også kan lægges til grund for en risikovurdering af forholdene efter 25. maj 2018, sådan at hensynet til borgernes smidige brug af biblioteket fortsat vil tale for, at der anvendes ukrypterede e-mails til reserverings- og kvitteringsmeddelelser.
Da vi samtidig anser det for relevant at afvente Datastilsynets udtalelse, foretages der ikke ændringer i FBS i forbindelse med at dispensationen bortfalder.
Kommuner bør selv foretage risikovurdering
Da det er den enkelte kommune, der er dataansvarlig, bør kommunerne selv foretage en risikovurdering af netop muligheden for at sende materialeoplysninger ukrypteret via e-mail. Såfremt kommunens vurdering falder ud til at oplysningerne skal sendes krypteret, kan kommunen vælge - inden for den eksisterende funktionalitet i FBS - at sende oplysningerne krypteret via Digital post, alternativt ændre opsætningen for beskedindhold, så der ikke længere fremgår konkrete materialer af ukrypterede de e-mails. Vejledninger hertil findes her:
Vejledning til opsætning af Digital Post findes i ”Cicero LMS – opsætning” afsnit 5.4.13 på http://fbsudrulning.dk/vejledninger/ (under Systemadministration)
I quick guiden ”Opsætning af notifikationer til lånerne” findes information om udsendelse af beskeder via Digital Post til lånerne. Quick Guiden kan hentes på http://fbsudrulning.dk/vejledninger/ (under Quick guides))
Hjælp til opsætning af beskeder uden materialeoplysninger findes i vejledningen ”Opsætning og tilpasning af udskrifter” på http://fbsudrulning.dk/vejledninger/ (under Systemadministration)
Hvis du har spørgsmål til FBS og den nye databeskyttelsesforordning kan du skrive til bibsys@kombit.dk
| Læs mere: |
 Om FBS |
| Alle nyheder fra KOMBIT |