Datatilsynet har netop offentliggjort fire nye afgørelser, der omhandler email-kryptering – eller manglen på samme. Der blev udtalt kritik i to af de fire afgørelser: Til et advokatkontorfællesskab og til en fagforening. Der faldt dog ingen bøder.
Her vil vi fokusere på advokatfællesskabet. Her stod man med en genkendelig udfordring: Vi skal kunne kommunikere sikkert med myndigheder og professionelle. Men vi skal også kunne kommunikere sikkert med klienter og pårørende.
Det første var løst fint. Datatilsynet noterede sig:
At kontorfællesskabet – i overensstemmelse med databeskyttelsesforordningens artikel 32 – anvender end-to-end kryptering ved udveksling af S/MIME certifikat over tunnelmail fællesskabet (herefter omtalt som tunnelmail) til fremsendelse af fortrolige og følsomme personoplysninger over internettet til politiet, domstole og andre modtagere på den offentlige tunnelliste.
Fra Datatilsynets afgørelse, 5. nov, Journalnummer: 2019-41-0029
Men hvad så med de kommunikationen til private? Her måtte datatilsynet konstatere:
At kontorfællesskabet ikke forud for tilsynsbesøget havde indført procedurer, der sikrer, at der anvendes kryptering på transportlaget via TLS til fremsendelse af fortrolige og følsomme personoplysninger til klienter mv. over internettet.
Fra Datatilsynets afgørelse, 5. nov, Journalnummer: 2019-41-0029 (vores understregning)
Hvad gjorde de forkert?
Når man sender en email indeholdende fortrolige eller følsomme personoplysninger, er det afsenders pligt at sikre den fornødne kryptering. Kryptering på transport-laget, der i langt de fleste tilfælde er tilstrækkeligt, kan nemmest opnås med såkaldt TLS 1.2 (Transport Layer Security).
Men det er ikke sikkert, at sende med såkaldt opportunistisk TLS, for ifølge Google understøtter 8-11 procent af verdens email-adresser ikke TLS.
Derfor skal man have et system, der enten forhindrer, at mailen bliver sendt afsted, hvis ikke forsendelsen kan foregå sikkert, eller som tilbyder en anden form for kryptering. Det havde kontorfælleskabet ikke.
Hvad kunne de have gjort?
RMail løser problemet ved – automatisk – at undersøge, om der er sikker TLS-forbindelse hele vejen til modtager. Hvis IKKE forbindelsen er sikker med TLS, vil RMail – automatisk – pakke mailen i en krypteret PDF, og på den måde sikre, at mailen kommer krypteret frem til modtageren.
Ovenikøbet modtager afsender en kvittering, der dokumenterer hvilken krypteringsmetode, der er anvendt. Den er særdeles brugbar, hvis en klient eller Datatilsynet stiller spørgsmål til, hvorvidt en forsendelse er leveret sikkert.
Anden afgørelse: Advokatkontor slap for kritik
Som sagt har Datatilsynet netop offentliggjort flere afgørelser. En anden drejede sig om et advokatkontor, der så at sige havde “bestået”. Der blev ikke rejst nogen kritik. Og hvordan havde disse advokater så håndteret det?
Jo, de havde opsat et system, der afviste at sende en mail afsted, hvis ikke der kunne konstateres TLS 1.2 hele vejen til modtageren – altså såkaldt “Forced TLS”. I de tilfælde hvor en mail ikke kommer afsted, skulle en medarbejder så gennemgå indholdet, eventuelt rense det for fortrolige eller følsomme oplysninger, og efter en konkret vurdering sende mailen afsted alligevel. Eller anvende fysisk post i stedet.
Forced TLS: Sikkert men tidskrævende
Dette advokatkontor levede altså op til reglerne men måtte leve mere besværet med at skulle analysere en del af de afsendte mails, og i nogle tilfælde tidsspildet ved at skulle flytte kommunikationen over i et fysisk brev.
Arbejdsgange, som man slipper for, hvis man anvender RMail, idet systemet har en automatiseret plan B for de mails, der ikke kan fremsendes med TLS 1.2.
Læs mere om RMail her
Læs hele Datatilsynets afgørelse her
