Datatilsynet: Vi skærper praksis ifht. kryptering af email

Har I allerede fået styr på kryptering af jeres email-kommunikation, kan læsningen sådan set stoppe her. Har I derimod valgt at se tiden an – og måske hæftet jer ved Datatilsynets brug af ordet “anbefaling” – bør du nok læse videre.

Hidtil har Datatilsynet nemlig nøjedes med en “anbefale” kryptering, når en privat virksomhed sender en email, der indeholder følsomme personoplysninger (for det offentlige har kryptering været obligatorisk siden 2000), men det ændrer sig nu, oplyser Datatilsynet i en pressemeddelse.

“Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.”

Baggrunden for dette skift er ifølge pressemeddelelsen “databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling siden 2007-2008”. Med andre ord handler det om den “nye” bevidsthed omkring data-sikkerhed, som GDPR har bragt med sig, og en anerkendelse af, at stort set al kommunikation – også den fortrolige og følsomme – mellem virksomheder (og private) i dag foregår vha. email.

Datatilsynet oplyser også, at man vil give virksomhederne lidt mere tid til at indrette sig efter den nye praksis og skriver i pressemeddelelsen:

“Da ovennævnte praksisændring vil kræve noget tilpasning i den private sektor, har tilsynet besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019. Den private sektor har således 6 måneder til at indrette sig på den nye praksis.”

Læs hele pressemeddelelsen her

Find Datatilsynets opdaterede vejledning til Transmission af personoplysninger via e-mail