Hvornår skal en email være sikker – altså sendes krypteret?

Er det overhovedet nødvendigt, at jeg krypterer mine emails? Det er natuligvis afhængigt af korrespondancens indhold, så her vil vi gennemgå de mest almindelige scenarier og Datatilsynets anbefalinger.
Hvornår skal en email være sikker – altså sendes krypteret?

Vi får stadig henvendelser, hvor folk er grundlæggende i tvivl: Er det overhovedet nødvendigt, at jeg krypterer mine personfølsomme emails? Hvis du arbejder i det offentlige, ved du forhåbentlig, at det SKAL du, men for den private sektor har billedet været mindre klart. 

Hen over sommeren har Datatilsynet dog skærpet kravene også til den private sektor. Så nu er reglerne egentlig ganske klare:

Datatilsynet forventer, at man krypterer sin e-mail-kommunikation ...

... når der optræder følsomme personoplysninger

... når der optræder personnumre

... når der optræder passwords

(der giver adgang til følsomme personoplysninger og/eller personnumre)

Og hvornår er noget så “personfølsomt”?

En personfølsom oplysning er en oplysning om:

  • racemæssig eller etnisk baggrund
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsmæssigt tilhørsforhold
  • oplysninger om helbredsmæssige og seksuelle forhold
  • genetiske og biometriske data (personoplysninger om fysiske karakteristika, såsom ansigtsbillede eller fingeraftryksoplysninger)

Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Datatilsynet, pressemeddelelse, 23-07-2018
  • Sådan skriver Datatilsynet:

Transmission af personoplysninger via e-mail

Generelt

Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse, der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige – allerede før en behandling foretages – skal foretage en kortlægning af risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder.

Anvendelse af e-mail som kommunikations- og kontaktform har de senere år antaget karakter af at være de facto standarden for skriftlig kommunikation. Dette gælder i såvel den offentlige som den private sektor.

Ovennævnte har bl.a. betydet, at kommunikationsformen er under betragtelig bevågenhed fra de aktører, der ønsker at opnå uretmæssig adgang til personoplysninger. I kraft af den øgede anvendelse af e-mail som kommunikationsform – både manuelt, men også i systemer til automatiseret fremsendelse af oplysninger – er hyppigheden af hændelser, hvor e-mail fejlagtigt fremsendes til forkerte modtagere, ligeledes stigende. Ved anvendelse af ukrypteret e-mail vil sådanne hændelser potentielt kunne medføre store læk af personoplysninger til uvedkommende.

Risikoprofilen for kompromittering af en ukrypteret e-mail over et netværk, som den dataansvarlige ikke har fuld kontrol over, må derfor betegnes som værende i den høje ende af skalaen.

Rettigheder og pligter

Både offentlige myndigheder og private organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.

Det er i den forbindelse Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Læs mere
×

Kurv