Kontroll av håndtering av e-postkontoer og hjemmeområder

En kontroll hos Statoil ASA, Skatteetaten og UiB i år viste svært få avvik hos disse bedriftene

Temaet for kontrollen var håndteringen av de ansattes e-postkontoer og hjemmeområder. Under kontrollen ble det tatt stikkprøver av virksomhetenes egne rutiner for avslutning og sletting av e-postkasser.

Datatilsynet mener at Statoils håndtering av e-postkontoer og hjemmeområder når ansatte slutter eller har lange fravær virker fornuftig, og har derfor lite å utsette på de rutinene Statoil opererer med. Vi synes allikevel at avslutting av e-postkasse etter 75 dager og sletting etter nye 30 dager virker unødvendig lenge, og anbefaler derfor Statoil å vurdere om det er behov for så lang lagringstid.

Statoil hadde ingen merknader til rapporten, og saken regnes derfor som avsluttet.

Les kontrollrapporten her (pdf).

Skatteetaten fikk heller ingen pålegg i denne omgangen, men Datatilsynet mener at å rutinemessig avslutte e-postkontoer først 20 dager etter at den ansatte har sluttet ikke er i overenstemmelse med personvernforskriften. Skatteetaten har bekreftet at de vil endre denne rutinen.

Les fullstendig kontrollrapport her (pdf)

Brev om avslutning av sak (pdf)

Hos Universitetet i Bergen (UiB) fant man noen avvik, og det ble sendt ut et varsel om pålegg.

  • Pålegg om å slette innholdet i e-postkasse og privat hjemmeområde for ansatte senest seks måneder etter arbeidsforholdets opphør.
  • Pålegg om å deaktivere studenters e-postkonto senest to måneder etter at studieretten opphører.
  • Pålegg om å slette innhold i studenters e-postkasse og hjemmeområde senest seks måneder etter at e-postkontoen er avsluttet.

UiB har rettet opp disse avvikene og Datatilsynet anser derfor saken som avsluttet.

Les fullstendig kontrollrapport her (pdf)

Brev om avslutning av sak (pdf)