Datatilsynet kræver kryptering af e-mails med følsomme og fortrolige oplysninger
· ·Fra 1. januar 2019 skal alle private virksomheder kryptere e-mails der indeholder fortrolige og følsomme personoplysninger. Det er Datatilsynet der nu har skærpet kravet, da de vurderer det ikke vil være muligt at leve op til GDPR´s krav om passende sikkerhedsforanstaltninger, med mindre disse e-mails altså krypteres.
Krypteringen skal som minimum ske på transmissionslaget ved TLS (Transport Layer Security) kryptering, hvor e-mailen er beskyttet under transporten til den tiltænkte modtager. TLS-protokollen er let at bruge i praksis når den er korrekt opsat. Man skal dog være opmærksom på tekniske begrænsninger i visse situationer, hvor en TLS-forbindelse ikke kan garanteres.
Det skal garanteres at modtageres mailserver også har TLS. Sender du mailen til en forkert person, eller får en hacker adgang til modtagerens indbakke, kan de frit læse med, da krypteringen kun virker under transporten. TLS-protokollen er let at bruge i praksis når den er korrekt opsat. Man skal dog være opmærksom på tekniske begrænsninger i visse situationer, hvor en TLS-forbindelse ikke kan garanteres.
Der bør kun anvendes TLS 1.2 eller nyere. Denne kryptering dækker som nævnt kun over transporten så sender man f.eks. fortrolige oplysninger og særlige kategorier af data, så skal man vurdere yderlige sikkerhedstiltag som f.eks. end-to-end kryptering.
End-to-end kryptering er et skridt længere op ad sikkerhedsstien. Her krypteres selve e-mailen, som kun kan læses, hvis man har en nøgle at dekryptere med. Denne kryptering kræver administration i forbindelse med udveksling af nøgler, og det kan være en ulempe i hverdagen. Datatilsynet anbefaler dog at anvende end-to-end kryptering, når indholdet der sendes skaber ”høj risiko for de registrerede”, som eksempel herpå, nævner de tilfælde hvor ”en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve”. Det er derfor vores vurdering at end-to-end kryptering kun er nødvendig i særlige tilfælde, og at TLS-kryptering er tilstrækkeligt, hvis det er korrekt sat op.
Hvilke mails skal så krypteres?
Datatilsynet har bestemt at virksomheder skal kryptere mails, når indholdet omfatter følsomme persondata (defineret i art. 9 i persondataforordningen):
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetiske data
- Biometriske data med henblik på entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering.
Fortrolige persondata er ikke defineret i persondataforordningen, men omfatter blandt andet:
- CPR-nummer
- Strafbare forhold
- Andre personlige oplysninger, som almindeligvis kan kræves utilgængelige for offentligheden
Hvordan kryptering skal foregå i det enkelte tilfælde, er ikke kun et teknisk spørgsmål. Det er i lige så høj grad et juridisk og organisatorisk spørgsmål. Og udgangspunktet er altid den dataansvarliges egen risikovurdering i det enkelte tilfælde. Vi kan dog nævne, at der for virksomheder med en form for patient/klient-ansvar, typisk vil være en hel del fortrolige og følsomme oplysninger at håndtere. For andre typer virksomheder er det særligt i relation til HR og personaleadministration, at man skal være opmærksom.
Lever man ikke op til kravet om TLS eller yderligere krypterings- eller sikkerhedsforanstaltninger risikerer man advarsler og bøde som udmålt i GDPR forordningen.
Hvilken krypterings-løsning skal du vælge?
Vi anbefaler vores kunder at vente med at investerer i dyre krypteringssystemer, da vi forventer en hel del udvikling på området. I stedet kan vi hjælpe med at se på hvordan virksomhedens nuværende systemer kan udnyttes bedst muligt.
Flere mail-systemer og firewalls kan med den rette opsætning (og evt. en opdatering eller ekstra licens) allerede håndtere kryptering på transportlaget og også end-to-end kryptering. Det skal måske
kombineres med en NemID-løsning, hvis du også udveksler fortrolige og følsomme personoplysninger med de offentlige myndigheder.
Valget af en passende krypterings-løsning afhænger således også af:
- hvem du skal kommunikere sikkert med via e-mail
- hvor ofte der skal kommunikeres sikkert
- og hvor mange medarbejdere der skal kunne håndtere proceduren
Kontakt os og få hjælp!
Baseret på en gennemgang af dit nuværende it-setup og mailsystem kan vi rådgive omkring de forskellige krypterings-løsninger der findes. Vi sammensætter også gerne en løsning, der på nemmeste og billigste vis bedst modsvarer dine behov for at kommunikere sikkert.
Kontakt os på telefon 76 123 112 eller Book et møde.