Ny praksis for å sende post med sensitive personopplysninger til AltInn via SvarUt

I dag kan alle med tilgang til rollen Post/Arkiv i Altinn lese post som kommer gjennom SvarUt til virksomhetens innboks i Altinn. Post/Arkiv-rollen gir automatisk daglig leder og styreleder denne tilgangen. Det er i dag ikke mulig å hindre en slik tilgang. Dette utgjør en uønsket høy risiko for at sensitive personopplysninger tilgjengeliggjøres for personer uten tjenstlig behov.

Vi anbefaler derfor at Altinn ikke benyttes når dere sender post som styreleder og daglig leder ikke skal ha tilgang til, til virksomheter via SvarUt. Dette er en midlertidig løsning fram til ny funksjonalitet i SvarUt er på plass i løpet av 2021.

Hvilken post gjelder det?           
Sensitive personopplysninger (særlige kategorier personopplysninger) er helseopplysninger, barnevernssaker eller andre typer opplysninger som kun skal leses av enkelte personer i virksomheten. Dere bør altså vurdere om posten inneholder opplysninger som i henhold til regelverket ikke skal være tilgjengelig for alle med tilgang til rollen Post/Arkiv i Altinn.

Den som skal sende post via SvarUt, bør ta stilling til følgende tre spørsmål før brevet sendes:

  1. Er mottaker av brevet en organisasjon?
  2. Mottar organisasjonen brevet i sin innboks i Altinn (og ikke i et dedikert fagsystem)?
  3. Inneholder brevet sensitive personopplysninger som kun få/enkelte personer i virksomheten bør ha tilgang til?

Hvis svar på alle spørsmål overfor er ja, bør ikke posten sendes til virksomhetens innboks i Altinn.

Hvordan sende post med sensitive opplysninger?
For å unngå å sende post til virksomheter via SvarUt til Altinn må dere unnlate å skrive organisasjonsnummer til mottaksorganisasjonen inn i saken når dere sender saken til SvarUt. Da vil den aktuelle forsendelsen gå til mottakeren som vanlig brevpost i stedet. Hvis dere vet at mottakeren bruker tjenesten SvarInn, kan dere imidlertid sende posten digitalt via SvarUt på vanlig måte.

Det er også mulig å sende dokumenter med sensitive personopplysninger via KS-tjenesten «Del dokument», hvor man kan dele dokumenter på en sikker måte. For å bruke denne tjenesten må man vite fullt fødselsnummer til mottakeren, for eksempel en saksbehandler hos barnevernet eller en fastlege.

Ny funksjonalitet i SvarUt er på plass i løpet av året
KS jobber med ny funksjonalitet i SvarUt som vil løse problemet. I den nye versjonen kan avsenderen merke forsendelsene med ulike kategorier sensitive personopplysninger og dermed begrense hvem som får tilgang til hvilken informasjon. Den nye versjonen er klar i løpet av 2021, og funksjonaliteten blir tilgjengelig i kommunens fagsystemer når leverandørene har tatt i bruk den nye versjonen fra KS. Inntil videre anbefaler vi altså at dere unngår å sende visse typer post med sensitive personopplysninger til AltInn via SvarUt.

Har du spørsmål?
Ta gjerne kontakt med oss på e-post svarut@ks.no hvis du har spørsmål.