Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Har du styr på din kryptering af e-mails fra 1. januar 2019?

NJORD Lawfirm
21/09/2018
377
Har du styr på din kryptering af e-mails fra 1. januar 2019?
NJORD Lawfirm logo

Datatilsynet har oplyst, at alle arbejdsmails, der indeholder følsomme eller fortrolige personoplysninger, skal krypteres fra 1. januar 2019. Krypteringskravet er en praktisk minimumsstandard for sikkerhedskravet til behandling af personoplysninger som følge af GDPR. Det rammer især den private sektor, da offentlige myndigheder allerede er omfattet af et tilsvarende krav.



I løbet af de næste 4 måneder skal virksomheder, foreninger, fonde og andre ikke-offentlige dataansvarlige implementere kryptering af mails, som indeholder følsomme og/eller fortrolige oplysninger. Formålet er at højne sikkerheden for behandling af personoplysninger ifølge databeskyttelsesloven og GDPR. Krypteringen skal gøre det mere besværligt for hackere og andre at få adgang til indholdet af mails, der ikke vedkommer dem. Det nye krav er en skærpelse af Datatilsynets tidligere praksis, som alene anbefalede kryptering.

Krypteringskravet forventes at påvirke rigtig mange i den private sektor, fordi langt de fleste virksomheder ikke anvender krypteringsløsninger i forbindelse med e-mails i dag. For eksempel vil HR-afdelinger, sundhedsklinikker, långivervirksomhed og fonde med uddeling til privatpersoner blive påvirket af det nye krav.

Men hvad ligger der i krypteringskravet?


Hvilke personoplysninger kræver kryptering?


Det er alene mails, der indeholder følsomme eller fortrolige personoplysninger, der skal krypteres.

Følsomme personoplysninger er et begreb, der stammer direkte fra GDPR og omfatter oplysninger om:

  • Race og etnisk oprindelse

  • Politiske holdninger

  • Religiøs eller filosofisk overbevisning

  • Medlemskab af en fagforening

  • Alkoholmisbrug

  • Seksuel orientering


Fortrolige personoplysninger er ikke defineret direkte i GDPR, hvilket gør begrebet til en ren dansk fortolkning. Datatilsynet har meldt ud, at følgende oplysninger er fortrolige:

  • CPR-numre

  • Oplysninger, som er omfattet af en lovbestemt tavshedspligt


Andre oplysninger kan efter omstændighederne også være fortrolige. Datatilsynet har oplyst, at der ved vurderingen af dette må lægges vægt på den almindelige opfattelse af, om en oplysning skal beskyttes. I praksis kan det være vanskeligt at foretage denne vurdering – specielt hvis vurderingen ikke er understøttet af principper eller interne retningslinjer hos private dataansvarlige. Uden disse, vil medarbejderne selv skulle foretage vurderingen.

Vi anbefaler for den enkelte virksomhed en generel stillingtagen til krypteringskravet. I vurderingen kan der med fordel tages udgangspunkt i den registreredes situation.

Tre eksempler på, hvad der i praksis vil være underlagt krypteringskravet:

  • Kopi af pas, kørekort og sundhedskort

  • Gældsforhold

  • Kontooplysninger


 

Hvilken kryptering kræves?

Der findes mange forskellige typer af kryptering. Datatilsynet har oplyst, at den private sektor som minimum skal have såkaldt ”TLS”-kryptering, hvilket står for Transport Layer Security. I skrivende stund er minimumskravet TLS version 1.2, som er den næstnyeste version.

TLS har dog den svaghed, at det ofte kun er transporten mellem dig og din/jeres mailserver, der krypteres. Når mailen skal fra mailserveren til modtageren, er den ikke altid krypteret. Det er derfor vigtigt at indstille TLS krypteringen korrekt, så hele transporten er sikret.

Fordi der er tale om et minimumskrav, vil TLS 1.2 ikke altid per definition være tilstrækkelig. GDPR stiller krav om, at jo større sikkerhedsrisiko, der er for den registrerede, desto større sikkerhed skal man implementere. Mere sikre former for kryptering kan derfor blive relevant, herunder eksempelvis ”end-to-end” kryptering, som betyder, at modtageren skal have en dekrypteringsnøgle for at kunne låse mailen op. Det kan være en besværlig omgang, og andre løsninger kan med fordel tænkes ind i disse situationer, for eksempel at lade modtageren hente beskeder via en platform, hvor der kræves sikkert login, som alternativ til mail.

Det bør indgå i vurderingen af behovet for kryptering, at det ikke kun er mails, som sendes, der skal krypteres. Hvis man anmoder om eller må forvente at modtage fortrolige eller følsomme oplysninger pr. mail, skal man også stille en mulighed for at sende krypterede mails til rådighed.

 

Hvordan kommer jeg videre?

I kan med fordel gribe krypteringskravet an på følgende måde:

  1. Find ud af, hvilke personoplysninger der behandles via mailsystemet.

  2. Undersøg, om behandlingen omfatter følsomme oplysninger, som de er defineret i GDPR eller oplysninger, som må forventes at blive opfattet som fortrolige af de registrerede.

  3. Vil I fortsætte med behandling af følsomme og/eller fortrolige personoplysninger via mails, skal der etableres en kryptering, der som minimum lever op til TLS version 1.2. Spørg din IT-leverandør.

  4. Hvis I har flere medarbejdere, der skal håndtere mails, anbefaler vi at udarbejde retningslinjer, som gør det muligt for medarbejderne at navigere sikkert i det daglige arbejde. Spørg os.



Vil du vide mere?


Hvis du har nogen spørgsmål om kryptering af e-mails, er du velkommen til at kontakte NJORDs persondatateam.

NJORDs persondatateam har betydelig erfaring med den komplicerede lovgivning inden for persondata og omfattende ekspertise i at samarbejde på tværs af alle juridiske discipliner og på tværs af landegrænser.

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
NJORD Lawfirm logo
København
Pilestræde 58
1112 København K
33 12 45 22
33 93 60 23
copenhagen@njordlaw.com
Aarhus
Åboulevarden 17
8000 Aarhus C
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Nyt krav om redegørelse for politik for dataetik
Nyt krav om redegørelse for politik for dataetik
I dag
Selskabsret, Persondata
Er du klar til besøg fra Datatilsynet i 2021?
Er du klar til besøg fra Datatilsynet i 2021?
I går
Persondata
Kontrollerer I jeres it-systemer regelmæssigt?
Kontrollerer I jeres it-systemer regelmæssigt?
12/01/2021
Persondata
Databeskyttelse i 2021 – et kig i krystalkuglen
Databeskyttelse i 2021 – et kig i krystalkuglen
11/01/2021
Persondata
Brexit: Handels­aftalens rammer for overførsel af person­oplysninger til Storbritannien
Brexit: Handels­aftalens rammer for overførsel af person­oplysninger til Storbritannien
05/01/2021
Persondata
Brexit – Må man overføre personoplysninger til UK efter den 31. december 2020?
Brexit – Må man overføre personoplysninger til UK efter den 31. december 2020?
04/01/2021
Persondata, Internationale retsforhold
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted