När det gäller dina privata e-post­med­de­lan­den kan du själv bestämma om du vill behålla eller radera dem. Men om du driver ett företag – särskilt i en regleradbranschkan brittiska data­skydds­la­gar och bransch­reg­ler kräva att du sparar vissa e-post­med­de­lan­den. I den här artikeln förklarar vi grunderna i e-postar­ki­ve­ring, beskriver det brittiska rättsliga ramverket och går igenom bästa praxis för att sä­ker­stäl­la ef­ter­lev­nad.

Vad är e-postar­ki­ve­ring?

E-postar­ki­ve­ring avser sys­te­ma­tisk och säker lagring av alla in­kom­man­de och utgående e-post­med­de­lan­den, inklusive metadata och bilagor. Till skillnad från vanliga sä­ker­hetsko­pi­or är ar­ki­ve­ring utformad för lång­sik­tig bevarande och enkel åter­hämt­ning, särskilt i fall av juridiska eller re­gu­la­to­ris­ka behov.

Att följa kraven på ar­ki­ve­ring av e-post är en stark drivkraft, men ar­ki­ve­ring medför också praktiska fördelar:

  • Minskar lag­rings­be­last­ning­en på primära e-post­serv­rar, vilket för­bätt­rar pre­stan­dan.
  • Ger skydd vid juridiska tvister, myn­dig­hets­gransk­ning­ar eller interna ut­red­ning­ar.
  • Möjliggör snabb åter­ställ­ning av e-post­med­de­lan­den som raderats eller förlorats av misstag.
  • Stöder ka­ta­strofå­ter­ställ­ning och kon­ti­nu­i­tets­pla­ne­ring.

Vem gäller kraven på e-postar­ki­ve­ring och varför?

Alla företag är inte ut­tryck­li­gen skyldiga enligt lag att arkivera e-post­med­de­lan­den. Många brittiska or­ga­ni­sa­tio­ner är dock i praktiken skyldiga att göra detta på grund av:

  • Stor­bri­tan­ni­ens GDPR och data­skydds­la­gen från 2018
  • Bransch­spe­ci­fi­ka regler
  • Behov av juridisk risk­han­te­ring och tvist­lös­ning

E-postar­ki­ve­ring är särskilt viktigt inom reglerade sektorer såsom:

  • Finans och för­säk­ring
  • Hälso- och sjukvård
  • Juridiska tjänster
  • Of­fent­li­ga myn­dig­he­ter
  • Ut­bild­ning och forskning

Om din or­ga­ni­sa­tion hanterar per­son­upp­gif­ter, arbetar med kunder eller patienter eller är föremål för re­vi­sio­ner är det viktigt att spara och hantera e-post­med­de­lan­den. Un­der­lå­ten­het att arkivera e-post­med­de­lan­den kan leda till böter, rättsliga påföljder eller skada på or­ga­ni­sa­tio­nens rykte.

Viktiga rättsliga ramar för e-postar­ki­ve­ring i Stor­bri­tan­ni­en

Stor­bri­tan­ni­ens GDPR och data­skydds­la­gen från 2018

Den brittiska data­skydds­för­ord­ning­en (UK GDPR) och data­skydds­la­gen från 2018 reglerar hur per­son­upp­gif­ter ska samlas in, lagras och behandlas i Stor­bri­tan­ni­en.

Enligt dessa lagar:

  • Individer har rätt att få tillgång till sina per­son­upp­gif­ter (via begäran om tillgång till per­son­upp­gif­ter, eller SAR).
  • Du måste svara på SAR inom en månad, vilket kan förlängas till två månader för komplexa fall.
  • Begäran är kost­nads­fria, såvida de inte är över­driv­na eller re­pe­ti­ti­va.

Om per­son­upp­gif­ter lagras i e-post­med­de­lan­den måste du kunna hitta och hämta dessa e-post­med­de­lan­den snabbt och säkert. Un­der­lå­ten­het att följa detta kan leda till verk­stäl­lig­hets­åt­gär­der från In­for­ma­tion Com­mis­sio­ner’s Office (ICO).

Lagen om in­for­ma­tions­fri­het från 2000 (FOIA)

Denna lag gäller för of­fent­li­ga myn­dig­he­ter och vissa of­fent­ligt fi­nan­si­e­ra­de organ. Den ger all­män­he­ten rätt att begära in­for­ma­tion, inklusive e-post­kom­mu­ni­ka­tion.

  • Svar måste lämnas inom 20 ar­bets­da­gar
  • Om relevant in­for­ma­tion lagras i e-post­med­de­lan­den måste den kunna hämtas
  • Un­der­lå­ten­het att följa dessa krav kan leda till ad­mi­nist­ra­ti­va sank­tio­ner

Privata företag omfattas inte av FOIA om de inte till­han­da­hål­ler tjänster på uppdrag av of­fent­li­ga organ.

Bransch­spe­ci­fi­ka regler

Beroende på din bransch kan yt­ter­li­ga­re regler gälla. Exempel på detta är:

  • Financial Conduct Authority (FCA) regler för do­ku­men­ta­tion och revision
  • So­li­ci­tors Re­gu­la­tion Authority (SRA) rikt­lin­jer för kund­kom­mu­ni­ka­tion
  • NHS-stan­dar­der för da­ta­lag­ring och ef­ter­lev­nad av IG Toolkit
  • Skydds- och da­ta­sä­ker­hetspo­li­cy­er för ut­bild­nings­sek­torn

Lag­rings­ti­der­na varierar ofta mellan olika sektorer, men ligger van­ligt­vis mellan 3 och 6 år.

Hur man sä­ker­stäl­ler korrekt ar­ki­ve­ring av e-post

För att uppfylla brittiska lagar och regler bör företag införa struk­tu­re­ra­de och säkra ar­ki­ve­rings­pro­ces­ser. Det innebär följande:

Din e-postar­ki­ve­rings­lös­ning bör:

  • Var säker med åt­komst­kon­troll och kryp­te­ring
  • Var sökbar, möjliggör snabb och precis e-po­stå­ter­vin­ning
  • Behåll metadata, bilagor och med­de­lan­de­kon­text
  • Möjliggör export i stan­dard­for­mat (t.ex. PST, PDF, EML)

Du bör också:

  • Vet var dina e-post­med­de­lan­den lagras (da­ta­cen­ter baserade i Stor­bri­tan­ni­en eller GDPR-kom­pa­tib­la da­ta­cen­ter)
  • Definiera och do­ku­men­te­ra dina lag­rings­po­li­cy­er (hur länge e-post­med­de­lan­den sparas, vad som raderas)
  • Utbilda per­so­na­len i att följa rutinerna för e-post­han­te­ring
  • Utse en com­pli­an­ce officer eller da­ta­kon­trol­lant som kon­takt­per­son
  • Genomför re­gel­bund­na gransk­ning­ar för att kon­trol­le­ra ef­fek­ti­vi­te­ten

Vad bör din policy för ar­ki­ve­ring av e-post innehålla?

En tydlig intern policy sä­ker­stäl­ler en kon­se­kvent och laglig hantering av e-post­kom­mu­ni­ka­tion. Den bör omfatta:

  • Syftet med och den rättsliga grunden för ar­ki­ve­ring av e-post
  • Om­fatt­ning: vilka e-post­med­de­lan­den som arkiveras och hur länge
  • Lag­rings­plats och teknik som används
  • Åt­komst­kon­troll och sök­pro­ce­du­rer
  • Regler för radering (när och hur e-post­med­de­lan­den tas bort)
  • Per­so­na­lens ansvar och es­ka­le­rings­vä­gar

Att ha en policy på plats hjälper din or­ga­ni­sa­tion att förbereda sig för re­vi­sio­ner, tvister eller be­gä­ran­den om tillgång till per­son­upp­gif­ter.

Observera den juridiska an­svars­fri­skriv­ning­en för denna artikel.

Gå till huvudmeny