Persondatasikkerhed ved brug af SMS
Indførelsen af Databeskyttelsesforordningen har haft markant indflydelse på de mange områder, hvor der i større eller mindre omfang behandles personoplysninger. Behandling af personoplysninger i form af transmission via SMS-beskeder er ingen undtagelse. Databeskyttelsesforordningen har medført, at principperne om dataminimering, risikovurdering, etablering af passende sikkerhedsniveau mv. i fremtiden skal tages i betragtning, før der afsendes SMS-beskeder indeholdende personoplysninger.
Selvom brugen af SMS-beskeder generelt er faldende, ses de fortsat anvendt, når det offentlige og den private sektor skal kommunikere med den enkelte borger. Typisk er der tale om SMS-beskeder, der indeholder påmindelser og lignende vedrørende tidsbestillinger, igangværende behandlingsforløb mv.
SMS-beskeder transmitteres over netværk, som ligger uden for den enkelte dataansvarliges kontrol. Dette medfører, at der er en af den dataansvarlige upåvirkelig risiko for, at uvedkommende på forskellig uretmæssig vis kan tilegne sig adgang til indholdet af de afsendte SMS-beskeder.
Datatilsynet anerkender, at anvendelse af SMS-beskeder er en effektiv og brugbar måde at give borgerne påmindelser og lignende meddelelser. Samtidig er Datatilsynet dog opmærksom på den risiko, der er forbundet hermed. Datatilsynet vurderer, at følsomme og fortrolige oplysninger ikke bør sendes via SMS, fordi det indebærer en så betydelig risiko for borgernes rettigheder ifølge Databeskyttelsesforordningen og for frihedsrettighederne i øvrigt.
Datatilsynet gør endvidere opmærksom på, at der findes alternativer til de traditionelle SMS-beskeder. Hvor der alligevel gøres brug af SMS-beskeder, kan NemSMS desuden med fordel anvendes for at mindske risikoen for fejl. NemSMS har nemlig en indbygget validering af telefonnumre samt forskellige kvalitetssikringsfunktioner som sikrer, at SMS-beskederne sendes ud til den korrekte modtager.
Dataansvarlige skal, når de gør brug af SMS-beskeder, sørge for at begrænse indholdet mest muligt således, at alle oplysninger, som ikke er nødvendige for, at modtageren kan forstå indholdet, udelades. Dette følger i forvejen af Databeskyttelsesforordningens grundlæggende princip om dataminimering.