Digital post til virksomheter (DPV) og sensitiv informasjon

Vi vil med dette minne tjenesteeiere DPV om at forsendelse av meldinger ved bruk av tjenesten DPV adresseres til virksomheten og kan åpnes av ledende roller registrert for virksomheten i Enhetsregisteret (daglig leder/styreleder o.l.,) og personer i virksomheten som er tildelt rollen "Post/arkiv".

"Post/arkiv"-rollen

"Post/arkiv"-rollen er ment for medarbeidere som fordeler post videre i virksomhet. Vi erfarer at denne rollen hos en del sluttbrukere blir tildelt andre enn de som har "tjenstlig behov". Dette kan medføre at virksomheten selv gir tilgang til taushetsbelagte/sensitive opplysninger til flere enn de som faktisk har "tjenstlig behov" for dette.

Meldinger med taushetsbelagt informasjon

I februar 2020 vil det komme en endring i Altinn som åpner for at det kan sendes meldinger til virksomheter selv om disse inneholder taushetsbelagt informasjon. Dette skjer ved at det blir mulig å sende meldinger til virksomheten som ingen i utgangspunktet får innsyn i. Daglig leder eller hovedadministrator må sørge at det gis tilgang til denne type meldinger til utvalgt medarbeider eller seg selv. For tjenesteeiere som benytter DPV vil det være nødvendig med en endring i egne fagsystem for å ta denne funksjonaliteten i bruk. Les mer om endringen her.

Inntil løsning som er beskrevet over er levert, anbefaler vi at DPV ikke brukes for å formidle meldinger som inneholder taushetsbelagt innhold, dersom tilgang til innholdet for daglig leder/styreleder vil kunne være i strid med taushetsbestemmelser.

Egen risikovurdering

Den enkelte tjenesteeier/avsender må selv foreta egen risikovurdering mht om tilganger i ulike løsninger imøtekommer avsenders behov ift tilgangsstyring- og kontroll, herunder bestemmelser som regulerer taushetsplikt, før avsender tar i bruk en slik løsning. Det vil si at ansvaret for at uvedkommende mottar taushetsbelagte opplysninger, ligger hos tjenesteeier/avsender.