Hvornår skal en email være sikker – altså sendes krypteret?

Er det overhovedet nødvendigt, at jeg krypterer mine emails? Det er natuligvis afhængigt af korrespondancens indhold, så her vil vi gennemgå de mest almindelige scenarier og Datatilsynets anbefalinger.

Vi får stadig henvendelser, hvor folk er grundlæggende i tvivl: Er det overhovedet nødvendigt, at jeg krypterer mine emails med følsomme personoplsyninger? Hvis du arbejder i det offentlige, ved du forhåbentlig, at det SKAL du, men for den private sektor har billedet været mindre klart.

Hen over sommeren har Datatilsynet dog skærpet kravene også til den private sektor. Så nu er reglerne egentlig ganske klare:

Datatilsynet forventer, at man krypterer sin e-mail-kommunikation ...

... når der optræder følsomme personoplysninger

... når der optræder personnumre

... når der optræder passwords

(der giver adgang til følsomme personoplysninger og/eller personnumre)

Og hvornår er noget så “personfølsomt”?

En personfølsom oplysning er en oplysning om:

racemæssig eller etnisk baggrund
politisk, religiøs eller filosofisk overbevisning
fagforeningsmæssigt tilhørsforhold
oplysninger om helbredsmæssige og seksuelle forhold
genetiske og biometriske data (personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger)

Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Datatilsynet, pressemeddelelse, 23-07-2018