Vi får stadig henvendelser, hvor folk er grundlæggende i tvivl: Er det overhovedet nødvendigt, at jeg krypterer mine emails med følsomme personoplsyninger? Hvis du arbejder i det offentlige, ved du forhåbentlig, at det SKAL du, men for den private sektor har billedet været mindre klart.
Hen over sommeren har Datatilsynet dog skærpet kravene også til den private sektor. Så nu er reglerne egentlig ganske klare:
Datatilsynet forventer, at man krypterer sin e-mail-kommunikation ...
... når der optræder følsomme personoplysninger
... når der optræder personnumre
... når der optræder passwords
(der giver adgang til følsomme personoplysninger og/eller personnumre)
Og hvornår er noget så “personfølsomt”?
En personfølsom oplysning er en oplysning om:
- racemæssig eller etnisk baggrund
- politisk, religiøs eller filosofisk overbevisning
- fagforeningsmæssigt tilhørsforhold
- oplysninger om helbredsmæssige og seksuelle forhold
- genetiske og biometriske data (personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger)
Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.
Datatilsynet, pressemeddelelse, 23-07-2018