Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Har du styr på din kryptering af e-mails fra 1. januar 2019?

NJORD Lawfirm
21/09/2018
320
Har du styr på din kryptering af e-mails fra 1. januar 2019?
NJORD Lawfirm logo

Datatilsynet har oplyst, at alle arbejdsmails, der indeholder følsomme eller fortrolige personoplysninger, skal krypteres fra 1. januar 2019. Krypteringskravet er en praktisk minimumsstandard for sikkerhedskravet til behandling af personoplysninger som følge af GDPR. Det rammer især den private sektor, da offentlige myndigheder allerede er omfattet af et tilsvarende krav.



I løbet af de næste 4 måneder skal virksomheder, foreninger, fonde og andre ikke-offentlige dataansvarlige implementere kryptering af mails, som indeholder følsomme og/eller fortrolige oplysninger. Formålet er at højne sikkerheden for behandling af personoplysninger ifølge databeskyttelsesloven og GDPR. Krypteringen skal gøre det mere besværligt for hackere og andre at få adgang til indholdet af mails, der ikke vedkommer dem. Det nye krav er en skærpelse af Datatilsynets tidligere praksis, som alene anbefalede kryptering.

Krypteringskravet forventes at påvirke rigtig mange i den private sektor, fordi langt de fleste virksomheder ikke anvender krypteringsløsninger i forbindelse med e-mails i dag. For eksempel vil HR-afdelinger, sundhedsklinikker, långivervirksomhed og fonde med uddeling til privatpersoner blive påvirket af det nye krav.

Men hvad ligger der i krypteringskravet?


Hvilke personoplysninger kræver kryptering?


Det er alene mails, der indeholder følsomme eller fortrolige personoplysninger, der skal krypteres.

Følsomme personoplysninger er et begreb, der stammer direkte fra GDPR og omfatter oplysninger om:

  • Race og etnisk oprindelse

  • Politiske holdninger

  • Religiøs eller filosofisk overbevisning

  • Medlemskab af en fagforening

  • Alkoholmisbrug

  • Seksuel orientering


Fortrolige personoplysninger er ikke defineret direkte i GDPR, hvilket gør begrebet til en ren dansk fortolkning. Datatilsynet har meldt ud, at følgende oplysninger er fortrolige:

  • CPR-numre

  • Oplysninger, som er omfattet af en lovbestemt tavshedspligt


Andre oplysninger kan efter omstændighederne også være fortrolige. Datatilsynet har oplyst, at der ved vurderingen af dette må lægges vægt på den almindelige opfattelse af, om en oplysning skal beskyttes. I praksis kan det være vanskeligt at foretage denne vurdering – specielt hvis vurderingen ikke er understøttet af principper eller interne retningslinjer hos private dataansvarlige. Uden disse, vil medarbejderne selv skulle foretage vurderingen.

Vi anbefaler for den enkelte virksomhed en generel stillingtagen til krypteringskravet. I vurderingen kan der med fordel tages udgangspunkt i den registreredes situation.

Tre eksempler på, hvad der i praksis vil være underlagt krypteringskravet:

  • Kopi af pas, kørekort og sundhedskort

  • Gældsforhold

  • Kontooplysninger


 

Hvilken kryptering kræves?

Der findes mange forskellige typer af kryptering. Datatilsynet har oplyst, at den private sektor som minimum skal have såkaldt ”TLS”-kryptering, hvilket står for Transport Layer Security. I skrivende stund er minimumskravet TLS version 1.2, som er den næstnyeste version.

TLS har dog den svaghed, at det ofte kun er transporten mellem dig og din/jeres mailserver, der krypteres. Når mailen skal fra mailserveren til modtageren, er den ikke altid krypteret. Det er derfor vigtigt at indstille TLS krypteringen korrekt, så hele transporten er sikret.

Fordi der er tale om et minimumskrav, vil TLS 1.2 ikke altid per definition være tilstrækkelig. GDPR stiller krav om, at jo større sikkerhedsrisiko, der er for den registrerede, desto større sikkerhed skal man implementere. Mere sikre former for kryptering kan derfor blive relevant, herunder eksempelvis ”end-to-end” kryptering, som betyder, at modtageren skal have en dekrypteringsnøgle for at kunne låse mailen op. Det kan være en besværlig omgang, og andre løsninger kan med fordel tænkes ind i disse situationer, for eksempel at lade modtageren hente beskeder via en platform, hvor der kræves sikkert login, som alternativ til mail.

Det bør indgå i vurderingen af behovet for kryptering, at det ikke kun er mails, som sendes, der skal krypteres. Hvis man anmoder om eller må forvente at modtage fortrolige eller følsomme oplysninger pr. mail, skal man også stille en mulighed for at sende krypterede mails til rådighed.

 

Hvordan kommer jeg videre?

I kan med fordel gribe krypteringskravet an på følgende måde:

  1. Find ud af, hvilke personoplysninger der behandles via mailsystemet.

  2. Undersøg, om behandlingen omfatter følsomme oplysninger, som de er defineret i GDPR eller oplysninger, som må forventes at blive opfattet som fortrolige af de registrerede.

  3. Vil I fortsætte med behandling af følsomme og/eller fortrolige personoplysninger via mails, skal der etableres en kryptering, der som minimum lever op til TLS version 1.2. Spørg din IT-leverandør.

  4. Hvis I har flere medarbejdere, der skal håndtere mails, anbefaler vi at udarbejde retningslinjer, som gør det muligt for medarbejderne at navigere sikkert i det daglige arbejde. Spørg os.



Vil du vide mere?


Hvis du har nogen spørgsmål om kryptering af e-mails, er du velkommen til at kontakte NJORDs persondatateam.

NJORDs persondatateam har betydelig erfaring med den komplicerede lovgivning inden for persondata og omfattende ekspertise i at samarbejde på tværs af alle juridiske discipliner og på tværs af landegrænser.

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
NJORD Lawfirm logo
København
Pilestræde 58
1112 København K
33 12 45 22
33 93 60 23
copenhagen@njordlaw.com
Aarhus
Åboulevarden 17
8000 Aarhus C
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
29/09/2020
Persondata
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
22/09/2020
Persondata
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted