Skærpede krav: e-mails med fortrolige og personfølsomme oplysninger skal krypteres

Fra den 1. januar 2019 skærper Datatilsynet kravene til sikkerheden ved mail-kommunikation af fortrolige og personfølsomme personoplysninger i den private sektor. Læs med her og bliv klogere på hvad det betyder for din virksomhed.

GDPR. De fire bogstaver kan ikke have undsluppet manges opmærksomhed. Der er naturligvis tale om EU’s persondataforordning, som trådte i kraft d. 25. maj 2018.

Datatilsynet, som administrerer og håndhæver persondataforordningen i Danmark, varslede i slut juli om skærpet praksis i den private sektor hvad angår “transmission af fortrolige og personfølsomme oplysninger med e-mail via internettet”. Udmeldingen var her, at kryptering fremadrettet ville blive anset som en ”passende sikkerhedsforanstaltning”.
Senere præciserede Datatilsynet de tekniske krav til krypteringen, og der skelnes nu mellem kryptering i transportlaget (TLS) og den mere sikre end-to-end kryptering. Hvornår man skal bruge hvad, besvarer Datatilsynet dog ikke entydigt, og det gør mange virksomheder usikre på hvilke krav, de egentlig skal leve op til i det nye år.

Hos IT Forum Gruppen bliver vi ofte kontaktet med spørgsmål om kryptering. Med GDPR er der imidlertid ingen hurtige svar. Hvordan kryptering skal foregå i det enkelte tilfælde er ikke kun et teknisk spørgsmål, det er i lige så høj grad et juridisk og organisatorisk spørgsmål. Og udgangspunktet er altid den dataansvarliges egen risikovurdering i det enkelte tilfælde.

I det følgende giver vi dog en solid håndsrækning, så du er bedre klædt på til at træffe en fornuftig beslutning om behovet for kryptering.

Kryptering af mails – hvornår?

Det første spørgsmål er enkelt: du skal kryptere dine mails, når de indeholder fortrolige og/eller følsomme personoplysninger.

Følsomme personoplysninger er oplysninger om:

  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforening
  • Genetiske og biometriske data
  • Helbred
  • Seksuelle forhold eller seksuel orientering

Fortrolige personoplysninger er oplysninger om blandt andet:

  • CPR-nummer
  • Strafbare forhold
  • Andre personlige oplysninger, som almindeligvis kan kræves utilgængelige for offentligheden

Datatilsynet skriver mere om personoplysninger her.

For virksomheder med en form for patient- eller klient-ansvar vil der typisk være en hel del fortrolige og følsomme oplysninger at håndtere løbende. For andre typer virksomheder er det særligt i relation til HR og personaleadministration, at man skal være opmærksom. Det kan være oplysninger om cpr-nummer, helbred eller fagforeningsforhold i forbindelse med eksempelvis ansættelse, personaleudvikling, sygefraværsaftaler,  eller personsager.

Kryptering af mails – hvordan?
Fra d. 1. januar 2019 skal mails med fortrolige og/eller følsomme personoplysninger som minimum krypteres på transportlaget ved såkaldt TLS-kryptering.

TLS (Transport Layer Security) skaber en sikker forbindelse mellem afsender og modtagers mailserver, men beskytter ikke mailen, når først den er leveret til modtagers mailserver. Hvis TLS-protokollen er opsat korrekt, er denne kryptering umiddelbart let at bruge i praksis. Man skal dog være opmærksom på tekniske begrænsninger i visse situationer, hvor en TLS-forbindelse ikke kan garanteres.

Et alternativ er end-to-end kryptering. Her krypteres selve beskeden, så den kun kan læses, hvis man har en nøgle at dekryptere med. End-to-end kryptering er væsentlig mere sikker end TLS-kryptering, men kræver administration i forbindelse med udveksling af nøgler. Det kan være en ulempe i hverdagen.

Datatilsynet nævner end-to-end kryptering som passende i tilfælde med “høj risiko for de registrerede”, dvs. for de personer, som den fortrolige og følsomme persondata vedrører. Hvornår en risiko er så alvorlig, at den kan vurderes som ”høj” uddybes ikke. Dog gives der et enkelt illustrerende eksempel: der er tale om et tilfælde med høj risiko ”hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve”.

Vores vurdering er, at end-to-end kryptering kun er nødvendig i særlige tilfælde, og at TLS-kryptering ellers er tilstrækkeligt – dog under forudsætning af hensigtsmæssig opsætning.

Læs Datatilsynets vejledning om transmission af personoplysninger via e-mail her.

Risikovurdering og ”passende” sikkerhedsforanstaltninger
Datatilsynets formuleringer kan virke kryptiske eller vage. Årsagen er, at persondataforordningen bygger på en risikobaseret tilgang. Det betyder groft sagt, at jo højere risikoen er for, at fortrolig og følsom persondata falder i de forkerte hænder, og jo større skadevirkning det kan have for de personer oplysningerne vedrører, des bedre sikkerhedsforanstaltninger kræves der.

Enhver behandling af følsom og fortrolig persondata – dvs. også en e-mail med den slags oplysninger – bør derfor starte med en risikovurdering: hvad er risikoen for fx hacking, hvor mange personer har det konsekvenser for og hvor alvorlige kan de konsekvenser være?

Over for denne identificerede risiko skal der gennemføres ”passende tekniske og organisatoriske foranstaltninger”. Her er det værd at notere sig, at hvad der på et givet tidspunkt vurderes som passende også afhænger af de teknisk mulige løsninger, der eksisterer på det givne tidspunkt. Dataforordningen er altså dynamisk på den måde, at den tager højde for den løbende tekniske udvikling – eksempelvis inden for kryptering.

Hvilken krypterings-løsning skal du vælge?
Der findes enkelte systemer, som kan håndtere alle former for kryptering til alle typer modtagere. De er dog dyre, og da vi forventer en hel del udvikling på området, mener vi, at det for mange virksomheder kan være fordelagtigt at vente med at forpligte sig til en dyr total-løsning og i stedet se på hvordan virksomhedens nuværende systemer kan udnyttes bedst muligt.

Flere mail-systemer og firewalls kan med den rette opsætning (og evt. en opdatering eller ekstra licens) håndtere kryptering på transportlaget såvel som end-to-end kryptering, men skal måske kombineres med en NemID-løsning, hvis du også udveksler fortrolige og følsomme personoplysninger med de offentlige myndigheder.

Valget af en passende krypterings-løsning afhænger således også af:

  • hvem du skal kommunikere sikkert med via e-mail
  • hvor ofte der skal kommunikeres sikkert
  • og hvor mange medarbejdere der skal kunne håndtere proceduren

 

Kontakt os og få hjælp! 
Vi kan ikke yde juridisk bistand eller give præcise anvisninger på hvornår, hvilken type kryptering bør benyttes, men baseret på en gennemgang af dit nuværende it-setup og mailsystem kan vi rådgive omkring de forskellige krypterings-løsninger, der findes, og sammensætte en løsning, der på nemmeste og billigste vis bedst modsvarer dine behov for at kommunikere sikkert.

Kontakt os på telefon 70 100 150 eller via vores kontaktformular.

Scroll to Top