Når det drejer sig om dine private e-mails, kan du selv bestemme, om du vil gemme eller slette dem. Men hvis du driver en virk­som­hed – især inden for en reguleret branche –kan de britiske da­ta­be­skyt­tel­ses­lo­ve og bran­che­be­stem­mel­ser kræve, at du opbevarer visse e-mails. I denne artikel gennemgår vi det væ­sent­lig­ste om ar­ki­ve­ring af e-mails, beskriver de britiske lovrammer og giver dig en guide til de bedste frem­gangs­må­der, så du kan sikre, at du over­hol­der lov­giv­nin­gen.

Hvad er ar­ki­ve­ring af e-mails?

E-mailar­ki­ve­ring er den sy­ste­ma­ti­ske og sikre op­be­va­ring af alle indgående og udgående e-mails, herunder metadata og ved­hæf­te­de filer. I mod­sæt­ning til al­min­de­li­ge sik­ker­heds­ko­pi­er er ar­ki­ve­ring beregnet til langvarig op­be­va­ring og nem frem­søg­ning, især i tilfælde hvor der er behov herfor af juridiske eller lov­giv­nings­mæs­si­ge årsager.

Selvom over­hol­del­se af kravene til ar­ki­ve­ring af e-mails er en stærk drivkraft, medfører ar­ki­ve­ring også en række praktiske fordele:

  • Reducerer be­last­nin­gen på de primære e-mail­ser­ve­re og forbedrer dermed ydeevnen.
  • Giver be­skyt­tel­se i juridiske tvister, lov­giv­nings­mæs­si­ge re­vi­sio­ner eller interne un­der­sø­gel­ser.
  • Gør det muligt hurtigt at gendanne e-mails, der er blevet slettet ved et uheld eller gået tabt.
  • Un­der­støt­ter ka­ta­stro­fe­be­red­skab og kon­ti­nu­i­tets­plan­læg­ning.

Hvem gælder kravene til ar­ki­ve­ring af e-mails for, og hvorfor?

Det er ikke alle virk­som­he­der, der ud­tryk­ke­ligt er lov­mæs­sigt for­plig­tet til at arkivere e-mails. Mange britiske or­ga­ni­sa­tio­ner er dog i praksis for­plig­tet til at gøre det på grund af:

Ar­ki­ve­ring af e-mails er særlig vigtig i re­gu­le­re­de sektorer såsom:

  • Finans og for­sik­ring
  • Sundhed
  • Juridiske tjenester
  • Of­fent­li­ge myn­dig­he­der
  • Ud­dan­nel­se og forskning

Hvis din or­ga­ni­sa­tion behandler per­so­nop­lys­nin­ger, arbejder med kunder eller patienter eller er genstand for re­vi­sio­ner, er det afgørende at gemme og ad­mi­ni­stre­re e-mail­kor­re­spon­dan­ce. Manglende ar­ki­ve­ring af e-mails kan medføre bøder, juridiske risici eller skade på or­ga­ni­sa­tio­nens omdømme.

De vigtigste britiske lov­giv­nings­mæs­si­ge rammer for ar­ki­ve­ring af e-mails

Den britiske GDPR og da­ta­be­skyt­tel­ses­lo­ven fra 2018

Den britiske generelle for­ord­ning om da­ta­be­skyt­tel­se (UK GDPR) og da­ta­be­skyt­tel­ses­lo­ven fra 2018 regulerer, hvordan per­so­nop­lys­nin­ger skal indsamles, opbevares og behandles i Stor­bri­tan­ni­en.

I henhold til disse love:

  • En­kelt­per­so­ner har ret til at få adgang til deres per­so­nop­lys­nin­ger (via an­mod­nin­ger om indsigt, også kaldet SAR’er)
  • Du skal besvare SAR’er inden for en måned, hvilket kan forlænges til to måneder i komplekse sager
  • An­mod­nin­ger er gratis, medmindre de er urimelige eller gentagne

Hvis der er gemt per­so­nop­lys­nin­ger i e-mails, skal du være i stand til hurtigt og sikkert at finde og hente disse e-mails. Manglende over­hol­del­se kan føre til sank­tio­ner fra In­for­ma­tion Com­mis­sio­ner’s Office (ICO).

Lov om ak­tind­sigt fra 2000 (FOIA)

Denne lov gælder for of­fent­li­ge myn­dig­he­der og visse of­fent­ligt fi­nan­si­e­re­de organer. Den giver borgerne ret til at anmode om op­lys­nin­ger, herunder e-mail­kor­re­spon­dan­ce.

  • Svar skal afgives inden for 20 ar­bejds­da­ge
  • Hvis relevante op­lys­nin­ger er gemt i e-mails, skal de kunne hentes
  • Manglende over­hol­del­se kan medføre sank­tio­ner

Private virk­som­he­der er ikke omfattet af FOIA, medmindre de leverer tje­ne­stey­del­ser på vegne af of­fent­li­ge organer.

Bran­che­spe­ci­fik­ke regler

Afhængigt af din branche kan der gælde yder­li­ge­re regler. Her er nogle eksempler:

  • Financial Conduct Authority (FCA) s regler for do­ku­men­ta­tion og revision
  • So­li­ci­tors Re­gu­la­tion Authority (SRA) ret­nings­linjer for kom­mu­ni­ka­tion med klienter
  • NHS-stan­dar­der for op­be­va­ring af data og over­hol­del­se af IG Toolkit
  • Ud­dan­nel­ses­sek­to­rens po­li­tik­ker for be­skyt­tel­se og da­ta­sik­ker­hed

Op­be­va­rings­pe­ri­o­der­ne varierer ofte fra sektor til sektor, men ligger typisk på mellem 3 og 6 år.

Sådan sikrer du, at ar­ki­ve­rin­gen af e-mails over­hol­der lov­giv­nin­gen

For at opfylde de britiske lov­mæs­si­ge og re­gu­le­rings­mæs­si­ge krav bør virk­som­he­der indføre struk­tu­re­re­de og sikre ar­ki­ve­rings­pro­ces­ser. Det indebærer følgende:

Din løsning til ar­ki­ve­ring af e-mails bør:

  • Vær sikker med ad­gangs­kon­trol og kryp­te­ring
  • Vær søgbar, så e-mails kan hentes hurtigt og præcist
  • Bevar metadata, ved­hæf­te­de filer og med­del­el­sens kontekst
  • Gør det muligt at eks­por­te­re i stan­dard­for­ma­ter (f.eks. PST, PDF, EML)

Du bør også:

  • Sørg for at vide, hvor dine e-mails opbevares (da­ta­cen­tre i Stor­bri­tan­ni­en eller da­ta­cen­tre, der over­hol­der GDPR)
  • Definer og do­ku­men­ter dine op­be­va­rings­po­li­tik­ker (hvor længe e-mails opbevares, hvad der slettes)
  • Uddann per­so­na­let i at følge pro­ce­du­rer­ne for e-mail­hånd­te­ring
  • Udpeg en com­pli­an­ce-ansvarlig eller da­ta­ansvar­lig som kon­takt­per­son
  • Gennemfør pe­ri­o­di­ske re­vi­sio­ner for at kon­trol­le­re ef­fek­ti­vi­te­ten

Hvad bør din politik for ar­ki­ve­ring af e-mails indeholde?

En klar intern politik sikrer en ensartet og lovmæssig hånd­te­ring af e-mail-kom­mu­ni­ka­tion. Den bør omfatte:

  • Formålet med og rets­grund­la­get for ar­ki­ve­ring af e-mails
  • Omfang: hvilke e-mails der arkiveres, og hvor længe
  • Op­be­va­rings­sted og anvendt teknologi
  • Ad­gangs­kon­trol og sø­ge­pro­ce­du­rer
  • Slet­nings­reg­ler (hvornår og hvordan e-mails fjernes)
  • Me­d­ar­bej­der­nes ansvar og eska­le­rings­ve­je

At have en politik på plads hjælper med at forberede din or­ga­ni­sa­tion på re­vi­sio­ner, tvister eller an­mod­nin­ger om indsigt.

Bemærk venligst den juridiske an­svars­fra­skri­vel­se for denne artikel.

Gå til ho­ved­me­nu­en