Datatilsynet har oplyst, at alle arbejdsmails, der indeholder følsomme eller fortrolige personoplysninger, skal krypteres fra 1. januar 2019. Krypteringskravet er en praktisk minimumsstandard for sikkerhedskravet til behandling af personoplysninger som følge af GDPR. Det rammer især den private sektor, da offentlige myndigheder allerede er omfattet af et tilsvarende krav.
I løbet af de næste 4 måneder skal virksomheder, foreninger, fonde og andre ikke-offentlige dataansvarlige implementere kryptering af mails, som indeholder følsomme og/eller fortrolige oplysninger. Formålet er at højne sikkerheden for behandling af personoplysninger ifølge databeskyttelsesloven og GDPR. Krypteringen skal gøre det mere besværligt for hackere og andre at få adgang til indholdet af mails, der ikke vedkommer dem. Det nye krav er en skærpelse af Datatilsynets tidligere praksis, som alene anbefalede kryptering.
Krypteringskravet forventes at påvirke rigtig mange i den private sektor, fordi langt de fleste virksomheder ikke anvender krypteringsløsninger i forbindelse med e-mails i dag. For eksempel vil HR-afdelinger, sundhedsklinikker, långivervirksomhed og fonde med uddeling til privatpersoner blive påvirket af det nye krav.
Men hvad ligger der i krypteringskravet?
Hvilke personoplysninger kræver kryptering?
Det er alene mails, der indeholder følsomme eller fortrolige personoplysninger, der skal krypteres.
Følsomme personoplysninger er et begreb, der stammer direkte fra GDPR og omfatter oplysninger om:
- Race og etnisk oprindelse
- Politiske holdninger
- Religiøs eller filosofisk overbevisning
- Medlemskab af en fagforening
- Alkoholmisbrug
- Seksuel orientering
Fortrolige personoplysninger er ikke defineret direkte i GDPR, hvilket gør begrebet til en ren dansk fortolkning. Datatilsynet har meldt ud, at følgende oplysninger er fortrolige:
- CPR-numre
- Oplysninger, som er omfattet af en lovbestemt tavshedspligt
Andre oplysninger kan efter omstændighederne også være fortrolige. Datatilsynet har oplyst, at der ved vurderingen af dette må lægges vægt på den almindelige opfattelse af, om en oplysning skal beskyttes. I praksis kan det være vanskeligt at foretage denne vurdering – specielt hvis vurderingen ikke er understøttet af principper eller interne retningslinjer hos private dataansvarlige. Uden disse, vil medarbejderne selv skulle foretage vurderingen.
Vi anbefaler for den enkelte virksomhed en generel stillingtagen til krypteringskravet. I vurderingen kan der med fordel tages udgangspunkt i den registreredes situation.
Tre eksempler på, hvad der i praksis vil være underlagt krypteringskravet:
- Kopi af pas, kørekort og sundhedskort
- Gældsforhold
- Kontooplysninger
Hvilken kryptering kræves?
Der findes mange forskellige typer af kryptering. Datatilsynet har oplyst, at den private sektor som minimum skal have såkaldt ”TLS”-kryptering, hvilket står for Transport Layer Security. I skrivende stund er minimumskravet TLS version 1.2, som er den næstnyeste version.
TLS har dog den svaghed, at det ofte kun er transporten mellem dig og din/jeres mailserver, der krypteres. Når mailen skal fra mailserveren til modtageren, er den ikke altid krypteret. Det er derfor vigtigt at indstille TLS krypteringen korrekt, så hele transporten er sikret.
Fordi der er tale om et minimumskrav, vil TLS 1.2 ikke altid per definition være tilstrækkelig. GDPR stiller krav om, at jo større sikkerhedsrisiko, der er for den registrerede, desto større sikkerhed skal man implementere. Mere sikre former for kryptering kan derfor blive relevant, herunder eksempelvis ”end-to-end” kryptering, som betyder, at modtageren skal have en dekrypteringsnøgle for at kunne låse mailen op. Det kan være en besværlig omgang, og andre løsninger kan med fordel tænkes ind i disse situationer, for eksempel at lade modtageren hente beskeder via en platform, hvor der kræves sikkert login, som alternativ til mail.
Det bør indgå i vurderingen af behovet for kryptering, at det ikke kun er mails, som sendes, der skal krypteres. Hvis man anmoder om eller må forvente at modtage fortrolige eller følsomme oplysninger pr. mail, skal man også stille en mulighed for at sende krypterede mails til rådighed.
Hvordan kommer jeg videre?
I kan med fordel gribe krypteringskravet an på følgende måde:
- Find ud af, hvilke personoplysninger der behandles via mailsystemet.
- Undersøg, om behandlingen omfatter følsomme oplysninger, som de er defineret i GDPR eller oplysninger, som må forventes at blive opfattet som fortrolige af de registrerede.
- Vil I fortsætte med behandling af følsomme og/eller fortrolige personoplysninger via mails, skal der etableres en kryptering, der som minimum lever op til TLS version 1.2. Spørg din IT-leverandør.
- Hvis I har flere medarbejdere, der skal håndtere mails, anbefaler vi at udarbejde retningslinjer, som gør det muligt for medarbejderne at navigere sikkert i det daglige arbejde. Spørg os.
Vil du vide mere?
Hvis du har nogen spørgsmål om kryptering af e-mails, er du velkommen til at kontakte NJORDs persondatateam.
NJORDs persondatateam har betydelig erfaring med den komplicerede lovgivning inden for persondata og omfattende ekspertise i at samarbejde på tværs af alle juridiske discipliner og på tværs af landegrænser.
-medium.jpg)
-medium.jpg)
