En medarbejder taster hurtigt i modtagerfeltet, auto-complete foreslår det forkerte navn, og pludselig er fortrolige klientdata sendt ud af huset. At have sendt en forkert mail med persondata er et potentielt GDPR-brud, som kan koste dyrt i bøder og tabt omdømme. Her får I den præcise opskrift på, hvordan I skifter fra falsk tryghed til teknisk blokering af mail-ulykker.

• Glem fortryd-knappen: At tilbagekalde mail i Outlook virker sjældent eksternt. I har brug for tekniske spærreregler.
• Aktivér DLP: En korrekt Microsoft 365 DLP opsætning blokerer CPR-numre og finansielle data før afsendelse.
• Brug logfiler som bevis: Træk data via Message Trace i Exchange Online til jeres anmeldelse af databrud.
• Få hjælp af AI: Udnyt Copilot til at få en proaktiv advarsel ved ekstern modtager i Outlook.

Hvorfor tilbagekald meddelelse i Outlook virker ikke i praksis

Mange tror, de bare kan slette en sendt mail, hvis de handler hurtigt. Men funktionen “tilbagekald meddelelse” virker kun, hvis modtageren sidder på jeres egen interne Exchange-server. Når mailen har forladt jeres tenant og ramt en klients indbakke, kan den teknisk set ikke trækkes tilbage.

Før: Medarbejdere stoler på fortryd-knappen og håber, modtageren ikke har læst beskeden.

Efter: Virksomheden bruger Microsoft Purview, som automatisk scanner og blokerer fortroligt indhold, før mailen overhovedet forlader serveren.

Datatilsynet straffer den manglende tekniske spærring

En mail med persondata sendt til forkert modtager er pr. definition et sikkerhedsbrud. Datatilsynet ser strengt på en forkert mail og slår hårdere ned på virksomheder, der udelukkende forlader sig på medarbejdernes opmærksomhed. I skal have tekniske foranstaltninger på plads for at overholde reglerne om compliance i Microsoft 365. Sker ulykken, rammer kravet om at anmelde databrud inden for 72 timer. Læs mere om vores tilgang til compliance.

Sådan kan I forhindre mail til forkert modtager med DLP

Løsningen ligger i Data Loss Prevention (DLP). Med en Microsoft 365 Business Premium-licens kan I opsætte politikker, der scanner udgående mails. Forsøger en medarbejder at sende et dokument med CPR-numre ud af huset, blokerer systemet afsendelsen eller kræver en forretningsmæssig begrundelse. Det er en afgørende funktion for Microsoft Purview i en SMV. Se hvordan vi håndterer Microsoft 365.

Tjekliste: Er jeres Microsoft 365 sat op til at fange datalæk?

Brug denne tjekliste til at vurdere jeres nuværende modenhed og sikkerhedsniveau:

• Data Loss Prevention (DLP) aktiveret: Kriterie: Systemet blokerer automatisk mails med CPR og IBAN til eksterne domæner.
• Advarsel ved ekstern modtager: Kriterie: Gule “MailTip”-bannere vises tydeligt i Outlook, når modtageren er uden for organisationen.
• Message Trace adgang: Kriterie: IT-ansvarlig ved præcis, hvordan man trækker en leveringsrapport til dokumentation.
• Auto-klassifikation: Kriterie: Filer med fortroligt indhold får automatisk en “Confidential” label, der begrænser videresendelse.

Bevisførelse: Brug Message Trace ved anmeldelse af databrud

Når ulykken er sket, er dokumentation alt. Message Trace i Exchange Online dokumenterer præcis, hvem der modtog mailen, hvornår den blev leveret, og om transportregler som kryptering var aktiveret.

Før: CFO’en bruger timer på at gætte, hvem der modtog mailen, og om den var krypteret.

Efter: IT-afdelingen trækker en præcis Message Trace-rapport på 5 minutter, som dokumenterer hændelsesforløbet sort på hvidt over for myndighederne. Få styr på jeres IT-sikkerhed.

Ofte stillede spørgsmål om fejlsendte mails og GDPR

Er en sendt forkert mail altid et GDPR-brud?
Ja, hvis den indeholder persondata. Det kræver en risikovurdering at afgøre, om bruddet er alvorligt nok til at skulle anmeldes til Datatilsynet.

Hvorfor virker tilbagekald af mail i Outlook ikke?
Funktionen kan kun slette mails på jeres egen interne server. Den har ingen magt over eksterne mailservere hos jeres klienter eller partnere.

Kan vi slette en sendt mail hos modtageren?
Nej. I skal kontakte modtageren direkte, bede dem slette mailen og kræve, at de bekræfter sletningen skriftligt.

Hvad koster Microsoft 365 DLP opsætning?
Selve funktionen er inkluderet, hvis I har Microsoft 365 Business Premium. Investeringen ligger udelukkende i den korrekte konfiguration af jeres politikker.

Hvor lang tid har vi til at anmelde et databrud?
I har præcis 72 timer fra det tidspunkt, hvor I bliver opmærksomme på bruddet, til det skal anmeldes til Datatilsynet.

Næste skridt: Stop mail-ulykkerne i morgen

Følg disse konkrete skridt for at lukke sikkerhedshullet og beskytte jeres data:

1. Kortlæg jeres licenser og bekræft, at I har Microsoft 365 Business Premium.
2. Aktivér MailTips i Exchange Online for at få en visuel advarsel ved ekstern modtager i Outlook.
3. Opsæt en test-politik i Microsoft Purview DLP, der kun logger hændelser for at måle omfanget af risikoen.
4. Udrul en hård blokering for kritiske data som CPR-numre og fortrolige klientdata.
5. Dokumentér processen for at trække en Message Trace-rapport, så I er klar til en eventuel 72-timers anmeldelse.