Nyheder

Ny skærpet praksis om sikker e-mail

Af Julie Fabrin Gade og Martin Sønnersgaard


Som noget nyt skal alle private virksomheder fra den 1. januar 2019 kryptere e-mails, der sendes via internettet, når de indeholder fortrolige eller følsomme personoplysninger. For offentlige myndigheder har kravet været gældende siden 2000.

Risici ved at sende e-mails over åbne netværk

Når en e-mail sendes over åbne netværk som f.eks. internettet, har man som afsender eller modtager som udgangspunkt ingen kontrol over, hvilke maskiner (servere m.v.) den konkrete e-mail passerer igennem undervejs, herunder hvor i verden disse maskiner er lokeret. Sendes en e-mail ukrypteret er der derfor risiko for, at informationerne i e-mailen tilegnes af uvedkommende eller ændres undervejs.  

Kravet om kryptering

I en ny udmelding fra Datatilsynet skærper tilsynet sin praksis for så vidt angår transmission af fortrolige og følsomme personoplysninger med e-mail via internettet i den private sektor. Skærpelsen er begrundet i databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling siden 2007-2008.

Fremadrettet er det således Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Hvad er fortrolige og følsomme personoplysninger?

Kravet om kryptering gælder ved transmission af følsomme eller fortrolige personoplysninger.

Følsomme personoplysninger er de oplysninger, der udtømmende er opregnet i databeskyttelsesforordningens artikel 9. Dvs. oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger samt seksuelle forhold eller seksuel orientering.

Fortrolige personoplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Det gælder f.eks. oplysninger om CPR-nummer, strafbare forhold og efter omstændighederne tillige oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om eksempelvis selvmordsforsøg og ulykkestilfælde eller andre rent private forhold.

Hvad er de tekniske krav til krypteringen?

Datatilsynet har – i forlængelse af udmeldingen om den skærpede praksis – udarbejdet en sikkerhedstekst, der uddyber den skærpede praksis rent teknisk i forhold til konkrete teknologier, f.eks. end-to-end kryptering m.v.

Kravet om kryptering gælder først fra 1. januar 2019 for det private

Kravet om anvendelse af kryptering er ikke nyt i det offentlige,  hvor kravet har været gældende siden 2000. Men for private virksomheder har det hidtil blot været en anbefaling.

Da praksisændringen vil kræve noget tilpasning i den private sektor, har tilsynet besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019.

Hvad skal du som privat virksomhed være opmærksom på?

Som privat virksomhed bør man sikre, at man senest inden årsskiftet har implementeret en løsning, som gør det muligt at sende krypterede e-mails, hvis disse e-mails skal kunne indeholde følsomme eller fortrolige personoplysninger. For så vidt angår både dataansvarlige private virksomheder og offentlige myndigheder er det vigtigt at foretage en risikovurdering og afgøre, hvilken type af kryptering, der rent teknisk er tilstrækkelig.