Hvorfor du ikke bør sende sensitive dokumenter per e-post

Det skjer hver dag i norsk forvaltning og næringsliv: en saksbehandler legger et vedtak som vedlegg i en e-post og trykker «send». Vedtaket inneholder personnummer, helseopplysninger, økonomiske detaljer eller annen sensitiv informasjon.

Det føles naturlig. Det er raskt. Og det er sannsynligvis i strid med loven.

Hva skjer med en e-post underveis?

Vanlig e-post er ikke ende-til-ende-kryptert. Innholdet sendes i klartekst mellom servere. Selv om transporten ofte er kryptert med TLS (Transport Layer Security), dekrypteres innholdet ved hver mellomstasjon.

Det betyr at e-postleverandøren til avsender kan lese meldingen. E-postleverandøren til mottaker kan lese meldingen. Og hvis TLS-forbindelsen brytes et sted underveis — noe som kan skje uten at noen merker det — kan innholdet leses av uvedkommende.

For usensitive meldinger er dette akseptabelt. For dokumenter med taushetsbelagte opplysninger er det det ikke.

Hva loven sier

GDPR artikkel 32: Egnede tiltak

GDPR artikkel 32 krever «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen». For sensitive personopplysninger — helseopplysninger, opplysninger om straffedommer, opplysninger om barn — tilsier risikovurderingen at ordinær e-post ikke er tilstrekkelig.

Bestemmelsen nevner kryptering eksplisitt som et egnet tiltak. E-post uten ekstra kryptering oppfyller ikke dette kravet når innholdet er sensitivt.

Forvaltningsloven § 13 c: Betryggende oppbevaring

Forvaltningsloven § 13 c krever at dokumenter med taushetsbelagte opplysninger skal oppbevares «på betryggende måte». Prop. 79 L (2024–2025) kap. 30-37 utdyper kravet med krav om adgangskontroll og sporbarhet.

Karnov-kommentaren til § 13 nevner kryptering og passordbeskyttelse som aktuelle tiltak for å oppfylle taushetsplikten. E-post uten slike tiltak oppfyller ikke kravet.

eForvaltningsforskriften § 5: Tilfredsstillende forebygging

eForvaltningsforskriften § 5 krever at risiko for uberettiget innsyn ved overføring av taushetsbelagte opplysninger skal forebygges «tilfredsstillende». Skatteforvaltningshåndboken presiserer at usikret e-post bare helt unntaksvis kan brukes for varsling — og aldri for taushetsbelagte opplysninger, selv om de gjelder den skattepliktige selv.

Taushetsplikten gjelder uansett medium

Forvaltningsloven § 13 pålegger taushetsplikt for opplysninger om «noens personlige forhold». Plikten gjelder uavhengig av om opplysningene formidles muntlig, skriftlig, på papir eller digitalt.

Men som Prop. 79 L presiserer: ved digital overføring må forvaltningsorganet dokumentere og sørge for relevante sikkerhetstiltak. I praksis stiller dette høyere tekniske krav enn fysisk post, fordi risikoene ved digitale kanaler — uberettiget innsyn, avlytting, feilsending — krever tekniske mottiltak.

Hva som kan gå galt — reelle eksempler

4 millioner kroner: Østre Toten (PVN-2022-13)

Østre Toten kommune ble i 2021 utsatt for et løsepengevirusangrep som rammet hele den kommunale tjenesteleveransen. Betydelige mengder personopplysninger kom på avveie. Overtredelsesgebyret ble satt til 4 millioner kroner.

Nemnda fant at kommunen ikke hadde gjennomført tilstrekkelige tekniske og organisatoriske tiltak. Saken handler ikke direkte om e-post, men illustrerer konsekvensene av manglende sikkerhet ved behandling av personopplysninger.

NAV: Pålegg for brudd (PVN-2024-17)

NAV fikk pålegg fra Datatilsynet for brudd på personvernforordningen. Selv Norges største offentlige etat er ikke unntatt fra tilsynets krav om egnede sikkerhetstiltak.

Sykehuset Østfold: 500 000 kroner (PVN-2021-16)

Sensitive pasientopplysninger ble lagret usikkert — tilgjengelige for personell uten tjenstlig behov. Gebyret ble opprinnelig satt til 750 000 kroner, senere nedjustert til 500 000 på grunn av lang saksbehandlingstid.

Alternativene

Hvis e-post ikke er tilstrekkelig for sensitive dokumenter, hva er alternativet?

Sikker portal med innlogging (Digipost, Altinn, Helsenorge): Kryptert transport og lagring. Sterk autentisering med BankID. Godt alternativ for mottakere som har BankID og digital postkasse. Men ekskluderer de 600 000+ som ikke har det.

Kryptert e-post (S/MIME, PGP): Ende-til-ende-kryptering av e-postinnhold. Krever at mottaker har sertifikat eller nøkkel. I praksis så komplisert at nesten ingen bruker det utenfor spesialiserte miljøer.

Kryptert overføringstjeneste med kode-basert tilgang: Dokumentet krypteres i avsenders nettleser. Mottaker henter det med en kode — uten BankID, uten konto, uten digitale ferdigheter. Tjenesteleverandøren ser aldri innholdet (zero-knowledge).

For organisasjoner som sender sensitive dokumenter til mottakere uten BankID eller digital postkasse, er det siste alternativet det eneste som kombinerer sterk sikkerhet med universell tilgjengelighet.

Det handler om risikovurdering

GDPR artikkel 32 krever ikke at du bruker en bestemt teknologi. Den krever at du gjør en risikovurdering og velger tiltak som er «egnet med hensyn til risikoen».

For et internt notat uten personopplysninger kan e-post være tilstrekkelig. For et vedtak med helseopplysninger, personnummer eller opplysninger om barn er det det nesten aldri.

Spørsmålet er ikke om du kan sende dokumentet per e-post. Spørsmålet er om du kan forsvare det i en risikovurdering — og overfor Datatilsynet.

---

Rettskilder brukt i denne artikkelen

• GDPR art. 25, 32
• Forvaltningsloven §§ 13, 13 c
• eForvaltningsforskriften § 5
• Prop. 79 L (2024–2025) kap. 30-37
• PVN-2022-13 (Østre Toten)
• PVN-2024-17 (NAV)
• PVN-2021-16 (Sykehuset Østfold)
• Skatteforvaltningshåndboken 2025
• Karnov lovkommentar til fvl. § 13
• Innføring og oppgavesamling i personvernrett kap. 4.7

Relaterte artikler

• GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
• Sikker dokumentoverføring uten BankID
• Zero-knowledge-arkitektur
• Taushetsplikt og digital forsendelse — hva norsk rett krever
• Det juridiske rammeverket for sikker digital dokumentoverføring

---

Håkon Haugen er praktiserende verge og grunnlegger av envei.no.