Er e-post sikkert nok for sensitive dokumenter?

Du har et vedtak, en fullmakt eller et dokument med personnummer som må sendes til noen. Du åpner e-postklienten, legger ved filen, og trykker send. Hva kan gå galt?

Ganske mye, viser det seg.

E-post er som et postkort

Datatilsynet er tydelige: e-post er i utgangspunktet ukryptert. Meldingen går ikke direkte fra deg til mottaker, men via flere knutepunkter underveis — og innholdet kan potensielt leses på veien.

Datatilsynet skriver på sine nettsider:

«E-post er i utgangspunktet ukryptert, som betyr at det kan være mulig for andre å lese innholdet. Ukryptert e-post går ikke direkte fra sender til mottaker, men via mange forskjellige knutepunkt før den kommer frem.»

Kilde: datatilsynet.no — Hva bør jeg ikke sende på e-post?

For vanlige beskjeder er dette uproblematisk. Men for dokumenter med personnummer, helseopplysninger, vergefullmakter eller juridiske avtaler er det en reell risiko.

Fødselsnummer på e-post: Datatilsynet sier nei

Mange profesjonelle sender fødselsnummer (11 siffer) på e-post daglig — advokater til klienter, regnskapsførere til revisorer, verger til NAV. Datatilsynet fraråder dette spesifikt.

Samfunnsbedriftene oppsummerer Datatilsynets posisjon slik: Datatilsynet er ikke positive til å sende personopplysninger over e-post, og spesielt ikke fødselsnummer. Bakgrunnen er at e-post er en åpen løsning og faren for feilsending i tillegg er stor.

Kilde: samfunnsbedriftene.no — GDPR: risiko ved å sende personopplysninger på e-post

Datatilsynet krever at overføring av sensitive personopplysninger normalt skal krypteres.

Kilde: datatilsynet.no — Spesielle krav for sending av sensitiv e-post

Feilsending: det stille datainnbruddet

De fleste tenker på hackere og dataangrep når de hører «sikkerhetsbrudd.» Men den vanligste årsaken til personvernbrudd i Norge er langt mer hverdagslig: noen sender en e-post til feil person.

Et feilsendt vedtak med diagnose. En fullmakt sendt til feil advokat. En lønnsslipp til feil ansatt. Når dokumentet er sendt, finnes det ingen angre-knapp. Mottakeren har filen. Du kan be dem slette den, men du kan ikke tvinge dem.

Næringslivets sikkerhetsråd (NSR) rapporterte i 2025 at over 1 400 norske virksomheter ble varslet om at de allerede var kompromittert av digitale angrep — og mørketallene er langt høyere.

Kilde: randstad.no / Næringslivets sikkerhetsråd — Norske SMB-er utsettes for bølge av digitale angrep

GDPR: du er ansvarlig

Personvernforordningen (GDPR) stiller krav til alle som behandler personopplysninger. Artikkel 32 krever «passende tekniske og organisatoriske tiltak» for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen.

Det betyr i praksis: Hvis du sender et dokument med sensitive opplysninger på ukryptert e-post, og noe går galt, er det du som er ansvarlig — ikke e-postleverandøren din.

For advokater, regnskapsførere, verger og helsepersonell er dette særlig relevant. Dere behandler «særlige kategorier av personopplysninger» (GDPR artikkel 9) — helseopplysninger, juridiske forhold, økonomiske data. Kravet til sikkerhet er tilsvarende høyere.

Hva er alternativene?

Passordbeskyttet vedlegg

Det enkleste grepet: legg dokumentet i en ZIP-fil med passord, eller passordbeskytt PDF-en. Problemet er at du må dele passordet — og de fleste sender det i en ny e-post. Til samme mottaker. Over samme usikre kanal.

Digipost

Digipost er Norges digitale postkasse og brukes av 4,5 millioner nordmenn. Sikkert, etablert, gratis for mottaker. Men det krever at mottaker har BankID. For de rundt 850 000 nordmenn som Digitaliseringsdirektoratet definerer som digitalt sårbare — inkludert personer under vergemål, demente, innvandrere uten BankID og funksjonshemmede — er Digipost utilgjengelig.

Kilde: Digitaliseringsdirektoratet — Digitalt utenforskap

Ende-til-ende-krypterte tjenester

Tjenester som krypterer dokumentet før det forlater nettleseren din, slik at ingen — heller ikke tjenesteleverandøren — kan lese innholdet. Mottaker trenger bare en kode for å åpne dokumentet, ikke en konto eller BankID.

Sjekklisten: Bør du sende dette på e-post?

Still deg selv tre spørsmål før du trykker send:

1. Inneholder dokumentet personnummer, helseopplysninger eller annen sensitiv informasjon? Hvis ja → ikke send på ukryptert e-post.

2. Ville det vært problematisk om dokumentet havnet hos feil person? Hvis ja → bruk en løsning med sporbarhet og engangstilgang.

3. Krever mottakerens situasjon spesiell tilrettelegging? Hvis mottaker ikke har BankID, e-post eller digitale verktøy → bruk en tjeneste som tilpasser seg mottakers kapasitet.

Oppsummering

E-post fungerer utmerket for vanlig kommunikasjon. Men for sensitive dokumenter — vedtak, fullmakter, helseopplysninger, juridiske avtaler — er ukryptert e-post et GDPR-brudd som venter på å skje.

Datatilsynet anbefaler kryptering. GDPR krever «passende sikkerhet.» Og feilsending er den vanligste årsaken til personvernbrudd.

Løsningen trenger ikke være komplisert. Den trenger bare å kryptere dokumentet før det forlater maskinen din, sørge for at bare rett person kan åpne det, og slette det automatisk etterpå.

---

Kilder

• Datatilsynet: Hva bør jeg ikke sende på e-post?
• Datatilsynet: Krav til sending av sensitiv e-post
• Datatilsynet: Personopplysninger
• Samfunnsbedriftene: GDPR — risiko ved å sende personopplysninger på e-post
• Næringslivets sikkerhetsråd / Randstad: Norske SMB-er utsettes for bølge av digitale angrep
• NSM: Risiko 2025
• Digitaliseringsdirektoratet: Digitalt utenforskap — 850 000 digitalt sårbare
• GDPR artikkel 32: Sikkerhet ved behandling
• GDPR artikkel 9: Særlige kategorier av personopplysninger