envei

19. mars 2026 · 6 min lesetid

Sikker dokumentdeling for advokater — uten klientportal

Du skal sende en kontrakt til en klient. Dokumentet inneholder personnummer, økonomiske detaljer og opplysninger om en pågående tvist. Du legger det ved i en e-post og trykker send.

Som advokat har du nettopp brutt med to regelsett samtidig.

Taushetsplikten: strengere enn GDPR

Advokaters taushetsplikt er lovfestet i straffeloven § 211 og nylig kodifisert i advokatloven § 32. Den gjelder alle opplysninger advokaten er betrodd i anledning oppdraget — og den gjelder overfor alle, inkludert andre medarbeidere i firmaet som ikke jobber på saken.

Advokatforeningen presiserer at taushetsplikten innebærer at advokatfirmaer ikke kan ha elektroniske arkiver med taushetsbelagte opplysninger som er tilgjengelige for alle medarbeidere. Taushetsplikten gjelder i utgangspunktet også internt.

Kilde: Advokatforeningen — Taushets- og fortrolighetsplikt vedrørende tilgangen til advokatfirmaers elektroniske arkiv

Når taushetsplikten gjelder internt i firmaet, gjelder den naturligvis i enda sterkere grad eksternt — inkludert e-posttransport mellom deg og klienten.

GDPR: fortrolighet er ikke nok

Mange advokater tenker at taushetsplikten dekker GDPR-kravene. Advokatforeningen advarer eksplisitt mot denne misforståelsen i sin GDPR-veileder: personvernforordningen rammer videre enn taushetsplikten og setter begrensninger for hvilke formål personopplysninger kan brukes for, hvor lenge de kan oppbevares, og hvilke rettigheter personene har. Fortrolig håndtering av opplysninger er ikke nok for å etterleve personvernforordningen.

Kilde: Advokatbladet — GDPR trer i kraft: her er eksperthjelp til advokater

GDPR artikkel 32 krever «passende tekniske og organisatoriske tiltak» — og ukryptert e-post med klientdokumenter er vanskelig å forsvare som «passende» når krypteringsverktøy er billige og tilgjengelige.

Hva advokater faktisk sender på e-post

I hverdagen sender norske advokater jevnlig dokumenter som inneholder:

  • Fødselsnummer (11 siffer) — for identifisering i kontrakter og rettsdokumenter
  • Helseopplysninger — i personskade-, barnevern- og trygdesaker
  • Økonomiske data — i skilsmisse-, arve- og gjeldssaker
  • Strafferettslige opplysninger — i forsvarersaker
  • Forretningshemmeligheter — i IP- og konkurransesaker

Flere av disse er «særlige kategorier» under GDPR artikkel 9, som krever ekstra beskyttelse. Datatilsynet anbefaler kryptering ved sending av fødselsnummer på e-post.

Kilde: Datatilsynet — Kan fødselsnummeret sendes per e-post?

Klientportalen: løsningen de fleste ikke bruker

Store advokatfirmaer har klientportaler — sikre innloggingssystemer der klienter kan hente og laste opp dokumenter. De fungerer, men har tre svakheter:

Klienten må opprette konto. For en klient som trenger én kontrakt signert, er det friksjon. Mange ender opp med å be advokaten «bare sende på e-post i stedet.»

Kostnad. Klientportaler fra leverandører som ShareFile (Citrix) koster fra $30/mnd per bruker. For et lite advokatkontor med 2–3 advokater er det en merkbar utgift for en funksjon som brukes sporadisk.

Mottakeren må kunne logge inn. Klienter med lav digital kompetanse, eldre klienter, eller klienter i sårbare situasjoner (vergemål, rusomsorg, asylsaker) sliter med enda et innloggingssystem.

Hva trenger en advokat egentlig?

For de fleste dokumentutvekslinger trenger advokaten fire ting:

1. Kryptering i transit og ved lagring. Dokumentet skal ikke kunne leses av andre enn mottaker. Ikke av e-postservere, ikke av tjenesteleverandøren, ikke av IT-avdelingen.

2. Sporbarhet. Bevis på at dokumentet ble sendt, når det ble hentet, og av hvem. Nødvendig for juridisk dokumentasjon og klientarkiv.

3. Engangstilgang. Dokumentet skal ikke ligge tilgjengelig for alltid. Hent det, les det, ferdig. Automatisk sletting reduserer risikoen for datalekkasje.

4. Ingen konto for mottaker. Klienten skal ikke trenge å opprette enda et passord. En kode er nok.

Kostnaden av et sikkerhetsbrudd

For en advokat er et sikkerhetsbrudd ikke bare et GDPR-problem. Det er et tillitsbrudd overfor klienten, en potensiell klage til Advokatforeningens disiplinærutvalg, og i verste fall et strafferettslig brudd på taushetsplikten.

Advokatforeningen understreker at makelighets- og hensiktsmessighetshensyn ikke gir grunnlag for å lempe på sikkerhetskravene knyttet til taushetsplikten.

Kilde: Advokatforeningen — Taushets- og fortrolighetsplikt

At «alle gjør det» er ikke et forsvar. At det er «upraktisk» er ikke et forsvar. Sikkerhetskravene gjelder uavhengig av hva som er mest behagelig.

Hva koster det å gjøre det riktig?

Løsning Kostnad/mnd Klientkonto nødvendig? Kryptering
Ukryptert e-post 0 kr Nei Ingen
Passordbeskyttet ZIP 0 kr Nei Svak
ShareFile (Citrix) ~$30/bruker Ja Ja
Virtru ~$119/5 brukere Nei Ja
Ende-til-ende med engangskode ~199 kr/mnd Nei Zero-knowledge

For et lite advokatkontor er den siste kategorien interessant: klienten trenger ingen konto, dokumentet krypteres før det forlater nettleseren, og kostnaden tilsvarer 6–13 minutter fakturerbar tid.

Sjekkliste for advokater

Før du sender et dokument til klient:

  1. Inneholder dokumentet taushetsbelagt informasjon? → Krypter alltid
  2. Inneholder det fødselsnummer? → Datatilsynet anbefaler kryptering
  3. Inneholder det helseopplysninger? → Særlig kategori, strengere krav
  4. Kan klienten håndtere en klientportal? → Hvis nei, bruk engangskode
  5. Trenger du bevis på at dokumentet ble mottatt? → Bruk en tjeneste med sporbarhet

For firmaet som helhet:

  1. Har dere en personvernerklæring som beskriver hvordan klientdata behandles?
  2. Har dere databehandleravtaler med alle leverandører som håndterer klientdata?
  3. Har dere vurdert om e-post er «passende sikkerhet» etter GDPR artikkel 32?

Oppsummering

Advokaters taushetsplikt og GDPR stiller krav som ukryptert e-post ikke oppfyller. Klientportaler løser problemet for store firmaer, men er overkill for de fleste dokumentutvekslinger. Det som trengs er enkelt: krypter dokumentet, del en kode, la klienten hente det uten å opprette konto.

199 kr i måneden. Mindre enn kvarteret det tar å forklare en klient hvorfor du ikke kan sende kontrakten på e-post.

envei.no tilbyr ende-til-ende-kryptert dokumentlevering med engangskoder. Ingen konto for klienten, full sporbarhet for deg. Prøv gratis →

Kilder

Trenger du å sende dokumenter sikkert?

Prøv envei gratis →
← Alle artikler