Når det gjelder dine private e-poster, kan du selv bestemme om du vil beholde eller slette dem. Men hvis du driver en bedrift – særlig i en regulert bransje –kan britiske personvernlover og bransjereguleringer kreve at du oppbevarer visse e-poster. I denne artikkelen forklarer vi det viktigste om arkivering av e-post, gir en oversikt over det britiske lovverket og går gjennom beste praksis for å sikre at du overholder regelverket.

Hva er e-postarkivering?

E-postarkivering innebærer systematisk og sikker lagring av alle innkommende og utgående e-postmeldinger, inkludert metadata og vedlegg. I motsetning til vanlige sikkerhetskopier er arkivering utformet for langsiktig oppbevaring og enkel gjenfinning, særlig i tilfeller der det foreligger juridiske eller lovpålagte krav.

Selv om overholdelse av kravene til e-postarkivering er en sterk drivkraft, gir arkivering også praktiske fordeler:

  • Reduserer lagringsbelastningen på primære e-postservere, noe som forbedrer ytelsen.
  • Gir beskyttelse ved rettstvister, tilsynskontroller eller interne undersøkelser.
  • Gjør det mulig å raskt gjenopprette e-poster som er slettet ved et uhell eller gått tapt.
  • Støtter katastrofegjenoppretting og kontinuitetsplanlegging.

Hvem gjelder kravene til e-postarkivering for, og hvorfor?

Det er ikke alle virksomheter som er uttrykkelig pålagt ved lov å arkivere e-poster. Mange britiske organisasjoner er imidlertid i praksis forpliktet til å gjøre dette på grunn av:

  • Den britiske GDPR og personvernloven av 2018
  • Bransjespesifikke forskrifter
  • Behov for juridisk risikostyring og tvisteløsning

Arkivering av e-post er spesielt viktig i regulerte sektorer som:

  • Finans og forsikring
  • Helse
  • Juridiske tjenester
  • Offentlige myndigheter
  • Utdanning og forskning

Hvis organisasjonen din behandler personopplysninger, jobber med kunder eller pasienter, eller er gjenstand for revisjoner, er det avgjørende å oppbevare og administrere e-postarkiver. Manglende arkivering av e-post kan føre til bøter, juridisk ansvar eller omdømmeskade.

Viktige britiske lovverk for arkivering av e-post

Den britiske GDPR og personvernloven av 2018

Den britiske personvernforordningen (UK GDPR) og personvernloven av 2018 regulerer hvordan personopplysninger skal innhentes, lagres og behandles i Storbritannia.

I henhold til disse lovene:

  • Enkeltpersoner har rett til innsyn i sine personopplysninger (gjennom innsynsbegjæringer, eller SAR-er)
  • Du må svare på SAR-er innen en måned, som kan forlenges til to måneder i komplekse saker
  • Forespørsler er gratis, med mindre de er urimelige eller gjentakende

Hvis personopplysninger er lagret i e-poster, må du kunne finne og hente frem disse e-postene raskt og sikkert. Manglende overholdelse kan føre til sanksjoner fra Datatilsynet (ICO).

Lov om informasjonsfrihet av 2000 (FOIA)

Denne loven gjelder for offentlige myndigheter og visse offentlig finansierte organer. Den gir innbyggerne rett til å be om informasjon, herunder e-postkorrespondanse.

  • Svar må gis innen 20 virkedager
  • Hvis relevant informasjon er lagret i e-poster, må den kunne hentes frem
  • Manglende overholdelse kan føre til sanksjoner

Private selskaper er ikke underlagt FOIA, med mindre de leverer tjenester på vegne av offentlige organer.

Bransjespesifikke forskrifter

Avhengig av hvilken bransje du er i, kan det gjelde ytterligere regler. Eksempler på dette er:

  • Financial Conduct Authority (FCA) sine regler for dokumentasjon og revisjon
  • Solicitors Regulation Authority (SRA) retningslinjer for kommunikasjon med klienter
  • NHS-standarder for datalagring og overholdelse av IG Toolkit
  • Retningslinjer for beskyttelse og datasikkerhet i utdanningssektoren

Oppbevaringsperiodene varierer ofte fra sektor til sektor, men ligger vanligvis mellom 3 og 6 år.

Hvordan sikre at arkivering av e-post skjer i henhold til regelverket

For å oppfylle britiske lov- og forskriftskrav bør bedrifter innføre strukturerte og sikre arkiveringsprosesser. Dette innebærer følgende:

Løsningen for arkivering av e-post bør:

  • Sikre systemet med tilgangskontroll og kryptering
  • Vær søkbar, slik at e-post kan hentes raskt og presist
  • Behold metadata, vedlegg og meldingskontekst
  • Muliggjør eksport i standardformater (f.eks. PST, PDF, EML)

Du bør også:

  • Finn ut hvor e-postene dine lagres (datasentre i Storbritannia eller datasentre som oppfyller GDPR)
  • Definer og dokumenter retningslinjene for oppbevaring (hvor lenge e-postene oppbevares, hva som slettes)
  • Opplær personalet i å følge prosedyrer for e-postadministrasjon
  • Utpeke en compliance-ansvarlig eller databehandler som kontaktperson
  • Gjennomfør periodiske revisjoner for å verifisere effektiviteten

Hva bør retningslinjene for e-postarkivering inneholde?

En tydelig intern retningslinje sikrer en konsekvent og lovlig håndtering av e-postkommunikasjon. Den bør omfatte:

  • Formålet med og rettsgrunnlaget for arkivering av e-post
  • Omfang: hvilke e-poster som arkiveres, og hvor lenge
  • Lagringssted og teknologi som brukes
  • Tilgangskontroll og søkeprosedyrer
  • Slettingsregler (når og hvordan e-poster fjernes)
  • Ansattes ansvar og eskaleringsveier

Å ha en policy på plass bidrar til å forberede organisasjonen din på revisjoner, tvister eller innsynsbegjæringer.

Vær oppmerksom på ansvarsfraskrivelsen for denne artikkelen.

Go to Main Menu