Indholdsfortegnelse
Grunden til at du overhovedet interesserer dig for spørgsmålet “Hvad er en sikker mail?”, er sandsynligvis, det øgede fokus på vores allesammens datasikkerhed, som både danske og europæiske politikere har bakket op om de seneste år. Vi skal alle sammen – og det er god ting – være bedre til at passe på hinandens data.
Og det skal vi selvfølgelig også, når vi sender e-mails til hinanden. Fra 1. januar 2019 blev det et krav at kryptere følsomme data, når de sendes med e-mail.
Hvad er en sikker mail?
En “sikker mail” er en krypteret mail. Det vil sige en mail, hvor afsender har vurderet, at indholdet er følsomt, og at det derfor er nødvendigt at sikre sig, at e-mailen bliver sendt med et passende sikkerhedsniveau.
Der findes overordnet to måder, hvorpå en email kan være “sikker”:
- E-mailen er krypteret på transportlaget, også kaldet TLS (e-mailen er krypteret på ‘rejsen’ men kan umiddelbart læses i modtagerens indbakke.
- E-mailen er krypteret end-to-end (skal dekrypteres med adgangskode)
Læs mere om, hvornår hvilken kryptering er passende her.
Hvornår skal en e-mail være sikker?
Datatilsynet forventer, at man krypterer sin e-mail-kommunikation …
- når der optræder følsomme personoplysninger
- når der optræder personnumre
- når der optræder passwords (der giver adgang til følsomme personoplysninger og/eller personnumre)
Og hvornår er noget så “personfølsomt”? En personfølsom oplysning er en oplysning om:
- racemæssig eller etnisk baggrund
- politisk, religiøs eller filosofisk overbevisning
- fagforeningsmæssigt tilhørsforhold
- oplysninger om helbredsmæssige og seksuelle forhold
- genetiske og biometriske data (personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger)
Jeg skal sende en sikker mail
Hvordan sender jeg en sikker mail? Jeg bruger Outlook / Gmail
Når du bruger Outlook eller GMail giver det mening at finde en løsning, der integrerer godt med disse produkter. Her er en løsning som vores egen RMail et godt bud. Læs mere om, hvor nemt det er for både afsender og modtager at kryptere med RMail. Med vores gratis test, kan du sende din første sikre e-mail om 5 minutter. Hent RMail Free her.
Der findes løsninger, der kan anvendes helt gratis, som for eksempel gratisversionen af Protonmail. Her vil du dog skulle oprette og anvende en mailadresse, der ender på @protonmail.com.
Hvordan sender jeg en sikker mail? Jeg bruger en webmail (f.eks. One eller Simply)
Her er en løsning som vores egen RMail et godt bud. Du logger så på RMails webapp, der fungerer ligesom din egen webmail, når du skal sende en sikker mail. Bemærk, at du bruger din egen mailadresse – det giver den bedste oplevelse for modtageren.
Læs mere om, hvor nemt det er for både afsender og modtager at kryptere med RMail. Med vores gratis testversion, kan du sende din første sikre e-mail fra RMails webapp om 5 minutter.
Der findes løsninger, der kan anvendes helt gratis, som for eksempel gratisversionen af Protonmail. Her vil du dog skulle oprette og anvende en mailadresse, der ender på @protonmail.com.
Jeg skal sende en sikker mail, og modtager insisterer på at bruge certifikater (S/MIME)
Man kan komme ud for, at modtager kræver, at der skal anvendes certifikater fx MitID. Denne krypteringsmetode kaldes også S/MIME
For eksempel stiller visse offentlige myndigheder krav om, at der på forhånd er udvekslet certifikater. Dette kan sættes op manuelt i eksempelvis Outlook, men også en løsning som Sikker@mail kan hjælpe her.
Det er en noget mere besværlig måde at kryptere på og langt de fleste modtagere vil ikke stille særlige krav – så længe længe forsendelsen er krypteret og lever op til GDPR.
Jeg skal sende en sikker mail, og modtager insisterer på at bruge tunnelmail
Man kan komme ud for, at modtager kræver, at der skal anvendes såkaldt “tunnelmail”.
For eksempel stiller visse kommuner krav om, at der anvendes såkaldt “tunnelmail” – et system hvor man på forhånd har godkendt hinandens domæner. Her kan en løsning som Sikker@mail hjælpe.
Det er en noget mere besværlig måde at kryptere på og langt de fleste modtagere vil ikke stille særlige krav – så længe længe forsendelsen er krypteret og lever op til GDPR.
Jeg skal modtage en sikker mail
Hvordan modtager jeg en sikker mail?
Det er afsender, der har ansvaret for, at en e-mail er krypteret på passende vis. Som modtager kan du altså i princippet læne dig tilbage, og lade afsender finde en metode, som du er i stand til at modtage.
Har afsender ikke umiddelbart adgang til et system, der kan kryptere e-mails, er der gratis løsninger, hvor man kan oprette en mail-adresse til lejligheden – for eksempel Protonmail.
Hvis afsender ønsker at sende fra sin egen mail-adresse er en prøveversion af vores egen RMail en god løsning. Henvis afsender til RMail Free. Det tager 30 sekunder at skrive sig op, og så kan man sende op til fem sikre mails helt gratis. Skal man bare sende en enkel sikker mail, kan man sende direkte fra RMails webmail – det kræver ingen opsætning.
Hvis du foretrækker at flytte byrden over på dig selv, kan du oprette en RMail Free, sende en RMail til den person, der skal skal sende en sikker mail til dig, og så bede vedkommende bruge “Besvar krypteret”-funktion.
Hvordan modtager jeg en sikker mail, når afsender bruger tunnelmail?
Det er afsender, der har ansvaret for, at en levering er forsendelse er krypteret på passende vis. Som modtager kan du altså i princippet læne dig tilbage, og lade afsender finde en metode, som du er i stand til at modtage.
Men … eksempelvis visse kommuner kræver, at man gør brug af såkaldt “tunnelmail”, hvis man skal have regelmæssig kommunikation (en enkelt e-mail kan man ofte bede om at få i sin e-boks).
Dette kræver en særlig opsætning, hvor en løsning som Sikker@mail kan hjælpe. Er du i tvivl, kan du spørge den kommune, der stiller kravet.
Hvordan modtager jeg en sikker mail, når afsender bruger certifikater (S/MIME)?
Det er afsender, der har ansvaret for, at en levering er forsendelse er krypteret på passende vis. Som modtager kan du altså i princippet læne dig tilbage, og lade afsender finde en metode, som du er i stand til at modtage.
Men visse offentlige myndigheder kræver, at man udveksler certifikater – typisk MitID.
Dette kan sættes op i eksempelvis Outlook, men også en løsning som Sikker@mail kan hjælpe her. Er du i tvivl, kan du spørge den afsender, der stiller kravet.
Hvilket sikkerhedsniveau skal jeg vælge?
Er det nok at kryptere på transportlaget (TLS) eller skal det være end-to-end-krypteret?
Her bliver det en anelse mere teknisk. Men det er værd at gøre sig overvejelsen, for kan man “nøjes” med at kryptere på transportlaget – og det kan man i langt de fleste tilfælde – bliver det væsentligt nemmere at håndtere ikke mindst for modtager.
Hos Datatilsynet gør man meget ud af, at det er afsender, der skal foretage den nødvendige analyse, og der udstikkes et par retningslinjer: For eksempel skal det tages med i overvejelsen, at ved TLS-kryptering vil indholdet af e-mailen ligge dekrypteret i modtagers indbakke, så har man grund til at tro, at uvedkommende har adgang til indbakken, kan det være en god forholdsregel at kryptere end-to-end, hvor indholdet ligger gemt bag et kodeord.
Datatilsynet fremhæver også, at hvis forsendelsen indeholder følsomme personoplysninger om et stort antal registrerede, bør man overveje end-to-end.
Nedenfor er hele teksten fra Datatilsynets hjemmeside under overskriften Transmission af personoplysninger via e-mail:
Det er, som nævnt i afsnittet om rettigheder og forpligtelser ovenfor, til enhver tid den dataansvarlige, der – med udgangspunkt i sin risikovurdering – skal vurdere, hvilket sikkerhedsniveau der er passende.
Der vil efter Datatilsynets opfattelse være typer af behandling, hvor kryptering på transportlaget er passende. Det er desuden tilsynets opfattelse, at kryptering på transportlaget bør betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.
Ligeledes vil der være typer af behandling, hvor den mere sikre end-to-end kryptering vil være passende, idet der er en høj risiko for de registrerede. Dette kunne fx være tilfældet, hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve. I så fald kan den dataansvarlige, på baggrund af en risikovurdering, beslutte, at end-to-end kryptering vil være en passende sikkerhedsforanstaltning. Grundet det løbende samarbejde med databehandleren har de to parter udvekslet S/MIME certifikater, og de kan således sende e-mails frem og tilbage til hinanden, som er end-to-end krypteret.
Hvordan skifter jeg sikkerhedsniveau?
Med RMail er det nemt at skifte mellem de to niveauer af sikkerhed. Det er muligt at have kryptering på transportlaget (TLS) aktiveret som standard, men så i særtilfælde hæve sikkerhedsniveauet til kodeordsbeskyttet end-to-end-kryptering.
RMail benytter her en metode, hvor e-mailens indhold og eventuelle vedhæftninger pakkes og krypteres i en PDF-fil.
Denne metode beskrives på Datatilsynets hjemmeside på siden Transmission af personoplysninger via e-mail i afsnittet “Hvad vil det sige at sende e-mails sikkert?” under rubrikken “Kryptering af vedhæftning”.