For nylig havde Datatilsynet brug for en våbentilladelse. Eller … i hvert fald gennemgik Datatilsynet Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelse. Og det gav anledning til kritik. Ikke på grund af et afslag, men fordi løsningen ikke levede op til GDPR.
Undervejs skal brugeren nemlig blandt andet indtaste sit CPR-nummer. Det stiller som bekendt krav til datasikkerheden, og derfor er det Rigspolitiets ansvar – som databehandler – at sikre, at disse informationer krypteres tilstrækkeligt.
For gammel version
Når ansøgerens informationer blev transporteret fra hjemmesidens selvbetjeningsportal til Rigspolitiets egne databaser, blev de krypteret med TLS. Det lever jo UMIDDELBART op til Datatilsynets retningslinjer, men problemet var, at der blev anvendt en gammel version af TLS.
VIGTIGT: Datatilsynet godkender kun TLS version 1.2 til kryptering af følsomme personoplysninger. Som de selv udtrykker det:
Det er endvidere Datatilsynets opfattelse, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.
Datatilsynet, pressemeddelelse 14. april 2021
Hvad gør RMail?
RMail tilbyder både TLS-kryptering (kun 1.2) og end-to-end-kryptering. I langt de fleste tilfælde vil en TLS-kryptering være tilstrækkelig, og der er god grund til at benytte denne metode, når man kan, for det er klart det mest bekvemme for modtageren.
Men hvis ikke modtageren understøtter TLS 1.2, så har man et problem. Det løser RMail på en ret elegant måde:
Når man indstiller RMail til at kryptere med TLS, så tjekker RMail automatisk, om HELE e-mailens rejse fra afsender til modtager kan ske på servere sikret med TLS 1.2. Kan den ikke det, laver RMail – også automatisk – et fallback, hvor e-mail og eventuelle vedhæftninger pakkes og krypteres i en PDF-fil. Denne pakke lander også i modtagerens indbakke, men skal åbnes med et kodeord, der er autogenereret og fremsendt i separat e-mail.
Enklere for afsender og modtager kan det ikke gøres.
Læs mere om RMails bud på krypteret mail.
Datatilsynet tegner og fortæller …
I videoen nedenfor forklarer Datatilsynets Allan Frank meget pædagogisk, hvordan TLS virker, og hvorfor Datatilsynet stiller krav til, hvilken version I anvender.