Fra 1. januar 2019 skærpes kravene om kryptering af e-mails i den private sektor, når der sendes fortrolige og følsomme oplysninger.
Tekst: Lene Kragelund, chefkonsulent i Advokatsamfundets strategiafdeling
Siden år 2000 har der været krav om, at offentlige myndigheder anvender kryptering ved brug af e-mail via internettet, mens det kun har været en anbefaling i den private sektor. Det ændres nu.
Datatilsynet skærper således sin praksis fra 1. januar 2019, når det gælder transmission af fortrolige og følsomme personoplysninger via e-mail i den private sektor. Fremover vil det normalt være en passende sikkerhedsforanstaltning at anvende kryptering.
Hvad indebærer kravet?
Den dataansvarlige skal sørge for, at den registreredes rettigheder bliver overholdt, når der sendes fortrolige og følsomme oplysninger via e-mail. Ifølge Datatilsynet er risikoprofilen i den høje ende, når der sendes ukrypterede e-mails over netværk, som den dataansvarlige ikke har fuld kontrol over.
Derfor vil det ifølge Datatilsynet normalt være passende at anvende kryptering ved fremsendelse af e-mails.
Datatilsynets udmelding bygger på, at sikkerhedsvurderingen efter databeskyttelsesforordningen er risikobaseret. En dataansvarlig skal således foretage en vurdering af risikoen for de registreredes rettigheder i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder.
Hvad betyder kravet om kryptering?
Når Datatilsynet taler om at sende en e-mail sikkert over et åbent netværk, betyder det, at indholdet i e-mailen ikke kan tilgås af uvedkommende. Dette kan ske ved kryptering i transportlaget eller end-to-end-kryptering.
|
Kryptering i transportlaget: Der anvendes kryptering på selve transporten af de datapakker, som indeholder e-mailen, når de sendes over netværket. |
|
End-to-end-kryptering: Kryptering af selve indholdet af e-mailen hos afsenderen, inden den sendes over netværket. |
Læs mere om de to forskellige metoder på Datatilsynet.dk.
Hvilken kryptering skal vælges?
Det er den dataansvarlige, der ud fra en risikovurdering skal afgøre, hvilket sikkerhedsniveau der er passende.
Der er typer af behandling, hvor kryptering på transportlaget er passende, mens der er andre typer af behandling, hvor den mere sikre end-to-end-kryptering vil være passende på grund af den høje risiko for den registrerede.
Datatilsynets vurdering må dog forstås sådan, at der ved transmission af fortrolige og/eller følsomme oplysninger via e-mail som minimum skal anvendes kryptering i transportlaget.
Ret henvendelse til din IT-udbyder, hvis du vil vide, om du kan sende krypterede e-mails.
Hvilke oplysninger er omfattet?
Følsomme oplysninger og andre fortrolige oplysninger er omfattet af reglerne om kryptering.
Følsomme oplysninger
Det vil sige oplysninger omfattet af databeskyttelsesforordningens artikel 9 (følsomme oplysninger).
|
Oplysninger omfattet af artikel 9: Personoplysninger om: Race eller etnisk oprindelse politisk, religiøs eller filosofisk overbevisning fagforeningsmæssigt tilhørsforhold behandling af genetiske data biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering |
Andre fortrolige oplysninger
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne.
Det afgørende for, om en oplysning skal anses for fortrolig, er en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27.
Det vil i hvert fald sige oplysninger omfattet af den tidligere persondatalovs § 8, altså oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold.
Fortrolige oplysninger omfatter også oplysninger om personnummer, indtægts- og formueforhold, kreditværdighed, interne familieforhold, bortvisning fra en arbejdsplads mv.