Feilsendt e-post - hva sier loven?

[satheesh.net]

Hei!

Vi har en diskusjon med et firma (A) der de mottar e-post som skal gå til et annet firma (B). Firma A har en såkalt ”catch all” funksjon der e-post mottas uansett mottakeradresse. E-post som sendes feil er av konfidensielt og bedriftskritisk art og bør derfor ikke vises til andre enn de som skal ha den, altså firma B.

 

Er ikke firma A pliktig til å informere avsender om at e-posten som er mottatt er feilsendt? Avsender får nemlig ingen tilbakemelding om at e-posten ikke blir levert mottaker da firma A mottar all e-post som blir sendt til [email protected]

 

Hva sier loven på dette området? Kan firma B forlange at firma A enten gir beskjed til avsender at den er feilsendt eller få dem til å endre funksjonen i e-post serveren som tar imot all e-post?

[Fin Skjorte]

Kan dere ikke bare kreve å få en epost addresse som sender info utelukkende til personen/bedriften dere ønsker skal ha den?

Og om det er kjent at informasjonen havner på avveie, så finne andre måter å sende den på feks sneglepost eller faks?

[Herr Brun]

Firmaer som sender bedriftskritisk, "hemmelig" informasjon per e-post er ikke så veldig smarte, og fortjener strengt tatt ikke bedre.

 

Jeg tviler på at du klarer å finne noen lovhjemler som forplikter firma A til å si i fra til firma B om at de får e-poster tilsendt som ikke skulle vært sendt dem. Hva menes med en catch all-funksjon? Snapper de opp e-posten som er sendt til en e-post-adresse de ikke eier?

[Ninjahamster]

E-post som sendes feil er av konfidensielt og bedriftskritisk art og bør derfor ikke vises til andre enn de som skal ha den, altså firma B.

 

Konfidensiell informasjon via ugradert, ukryptert e-post? Her er det noe som skurrer i mine ører.

[satheesh.net]

Hei. Litt mer informasjon:

 

Begge firmaene er regnskaps- og revisorkontorer. Derfor er det en god del kritisk informasjon som blir sendt frem og tilbake.

 

Med "catch-all" funsksjon menes at alle eposter som sendes til [email protected] blir mottatt. Altså ALT foran @domenenavn.no

Grunnen til at eposter blir mottatt av firma A er at de har nesten identisk domenenavn med firma B.

 

 

 

Jeg har også tatt kontakt med Datatilsynet, så det skal bli spennende å se hva jeg får som svar...

Endret 9. mai 2009 av Satheesh

[Fin Skjorte]

Om de har nesten identisk domenenavn så får ikke firma A posten til B eller vica versa.

Sender du en mail til test(at)test.no så er det en helt annen addresse enn test(at)teest.no, tilsvarende 4 er noe helt annet enn 5 selv om de "ligger ved siden" av hverandre.

[esoteric]

Hvordan vet dere at de faktis får disse mailene om de ikke gir beskjed?

 

Skulle man vært pliktet til og sjekke all mail man får, om det kommer til riktig epost adresse, så får man et problem med tanke på hvor mye spam og sånt som flyr rundt på nettet, og avsender adresser osv. kan enkelt endres på.

[Bruktbilen]

Grunnen til at eposter blir mottatt av firma A er at de har nesten identisk domenenavn med firma B.

Nei, det skjer ikke.

[klilleng]

Grunnen til at Firma A får posten til Firma B er at avsender har skrevet feil adresse. Det er helt vanlig med det du kaller en "catch-all"-funksjon. Løsningen er å sørge for at avsender bruker riktig adresse, bruke annen form for kommunikasjon (f.eks. finnes det mange alternative, sikre, måter å sende elektronisk post på), eller bytte domenenavn. At Firma A skal bruke tid og penger på feilsendt post tror jeg du kan glemme.

 

> Jeg har også tatt kontakt med Datatilsynet, så det skal bli spennende å se hva jeg får som svar...

 

Ja det skal bli spennende..

 

Forresten er det å sende bedriftskritisk informasjon over vanlig e-post idiotisk, og noe dere bør endre på umiddelbart.

Endret 9. mai 2009 av klilleng

[nomore]

Selv om trådstarter ikke har tydeliggjort det, så er det nok som klilleng sier. Avsender skriver feil adresse som dermed gjør at den havner hos feil mottaker. Ikke uvanlig problemstilling knyttet til sending av konfedensiell informasjon og kommunikasjon av sensitiv art.

 

Firma A, som mottar e-posten som er feilsendt, har ikke plikt til å hverken informere avsender eller firma B om situasjonen, eller gjøre nødvendige endringer i sitt system. De har ikke noe ansvar oppi dette. Det at firma B har et så likt domenenavn(og kanskje firmanavn?) som firma A kan vel kalles for uheldig, men heller ikke ulovlig. Både e-post, besøkende på nettet, oppslag i telefonkataloger/bedriftskataloger, søk på internett, faks og vanlig post kan ha problemer når to firmaer har nesten identiske navn. Det er stort sett ikke ulovlig, men de burde tenke over problemstillingen.

 

Men det er uansett avsender sitt ansvar å sørge for at adresser, faksnummer og e-postadresser blir skrevet rett slik at forsendelser kommer til rett mottaker. Det at det her er snakk om konfedensiell bedriftskritisk art som blir sendt ukryptert og attpåtil feil er såpass alvorlig at det er graverende. Vedkommende som sendte denne e-posten bør absolutt bli instruert i bedriftens rutiner på dette området. Og dersom bedriftens rutiner ikke sier noe om dette så er det større problemer på gang.

 

Det at bedriften som står som avsender nå prøver å legge ansvar og skyld over på den uskyldige part sier også litt om rutinene og fokuset til bedriften.

[satheesh.net]

Hei igjen!

Ja, det stemmer at avsender skriver feil adresse og at det i grunn er derfor at e-posten blir levert til feil firma.

 

Oversending av bilag, kjørebok, fakturaer, lønnslipper, etc. er ganske vanlig i dagens elektroniske samfunn. Det er ikke alle kontorer som har kryptert trafikk mellom avsender og mottaker, men det er nok som mange påpeker noe som vil komme for fult etterhvert.

 

Men vi får se hva Datatilsynet mener om saken, skal holde dere oppdatert!

Endret 10. mai 2009 av Satheesh

[nomore]

Nei, det er som du sier ikke vanlig. Og det er i grunn veldig dårlig mtp hvor farlig det faktisk er nå informasjon kommer til feil mottaker. Dette må bedriftene i Norge ta tak og i vise at de har et ansvar

[Fin Skjorte]

Men vi får se hva Datatilsynet mener om saken, skal holde dere oppdatert!

De vil vel neppe mene noe mer enn at avsender må skriver rett addresse....

Endret 10. mai 2009 av Fin Skjorte

[The Avatar]

Kva med registrert varemerke? Om nokon har laga seg eit bedrifts namn som både er veldig likt og driv med det samme som ditt selskap så har du kanskje ei sak.

 

Eg rekner med at problemet er at selskap A heiter f.eks: @revisorekspert.no og selskap B heiter @revisoreksperten.no eller noke liknande. Altså omtrent det samme namnet berre med ein liten vri.

[nomore]

Eller evnt at ene selskapet heter Revisor Ekspertane i Sentrum ANS og det andre heter Revisor Experten AS. Det ene bruker kanskje revisor-ekspertane.no og det andre bruker revisorexperten.no. Fort gjort.

[esoteric]

Kva med registrert varemerke? Om nokon har laga seg eit bedrifts namn som både er veldig likt og driv med det samme som ditt selskap så har du kanskje ei sak.

*

Mulig, TS kan jo sjekke norid hvordan det er med slike saker også.

[obergeru]

Tror trådstarter bør kikke på dette:

http://www.gnupg.org/

 

Tror datatilsynet kommer til å få seg en god latter her

 

Edit: Det er jo firmaet som sender sensitiv data på epost som burde "anmeldes" til datatilsynet.

Endret 12. mai 2009 av obergeru

[satheesh.net]

Fikk svar fra Datatilsynet. De sa at nærmeste politimyndighet kan gi råd og veiledning for tolkning av omtalte regelverk (se straffelovens paragraf nedenfor).

 

jf straffeloven § 145

 

Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.

 

Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.

 

Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.

 

Medvirkning straffes på samme måte.

 

Offentlig påtale finner bare sted når allmenne hensyn krever det.

 

Endret ved lover 16 feb 1979 nr. 3, 12 juni 1987 nr. 54, 8 april 2005 nr. 16.

 

Noen tanker? Det andre avsnitter er jo veldig interessant...

Endret 12. mai 2009 av Satheesh

[krikkert]

Joda, men har du først sendt e-post til DEM, så er det ikke uberettiget å åpne den. Selv om de bruker catchall-adresse. Det eneste juridiske beinet du har å stå på er da eventuelt bestemmelsen i tredje ledd.

[obergeru]

1) De anskaffer seg ikke uberettiget skaffer seg adgang til data eller programutrustning.

 

De kan ikke lastes for at kunden bruker feil epostadresse.

 

2) De bruker (så vidt jeg har skjønt) ikke denne informasjonen til noe. (noe som ikke er lov). Hvis jeg har forstått deg rett, vil du at de skal informere kunden om at de har sendt eposten feil. Det er det overhodet ikke dekning for i denne loven.

 

Jeg har driftet epost server med 10000 vis av slike "feilsendte" eposter hver eneste dag.

Skulle vi svart på alle disse, hadde vi ikke gjort noe annet.

 

"Catch all" funksjonaliteten er standard IT sikkerhetsprosedyre for å unngå Denial Of Service angrep på epostserveren. Hvis serveren skulle svart på alle "feilsendte" mail (spam) ville den knelt under pga. for mye last.

 

I tillegg vil dette medføre informasjonslekasje (du kan finne ut hvilke epostadresser som er gyldige.)