Kryptering af private virksomheders e-mails

mail

Datatilsynet har udtalt sig omkring skærpet praksis i forhold til kryptering af e-mails henholdsvis den 23. juli 2018 og den 20. september 2018. Før den nye Databeskyttelsesforordningens ikrafttræden udtalte Datatilsynet, at private virksomheder burde anvende krypterede e-mails, ligesom det var pålagt offentlige myndigheder at anvende krypterede mails.

Databeskyttelsesforordningen har en mere risikobaseret tilgang, hvorefter det er Datatilsynets klare vurdering, at private virksomheders anvendelse af krypterede e-mails er en passende sikkerhedsforanstaltning. Ændringen af Datatilsynets hidtidige praksis vil først blive håndhævet pr. 1. januar 2019, således at private virksomheder har tid til implementering af krypterede e-mails.

 

Hvilke oplysninger er omfattet?

Det er både fortrolige og følsomme personoplysninger, der er omfattet af pligten til at anvende krypteret e-mails. Det drejer sig om følsomme personoplysninger, som omfatter: race, etnisk oprindelse, politisk, religiøst eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuelle tilhørsforhold.

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes direkte i Databeskyttelsesforordningen, men hvor der er et særligt beskyttelsesbehov – f.eks. som følge af særlovgivning. Det kan være personnummer (CPR-nummer), indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold og interne familieforhold. Det afgørende i vurderingen er, om oplysningen efter almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Det vil sige, at følsomme personoplysninger vil være fortrolige personoplysninger, men fortrolige personoplysninger er ikke altid følsomme. Således kan personoplysninger mellem erhvervsdrivende være fortrolige på trods af, at der kun er tale om almindelige personoplysninger. Især hvis det er et erhverv med tavshedspligt eller en anden lovbestemt tavshedspligt. Derfor bør private virksomheder gennemgå deres personoplysninger og herunder vurdere, om disse i visse relationer kan antages at være af fortrolig karakter.

 

Hvilke tekniske krav er der?

Det er op til den enkelte dataansvarlig (den private virksomhed), med udgangspunkt i egen risikovurdering, at vurdere hvilket sikkerhedsniveau, der er tilstrækkeligt. Afhængig af karakteren af personoplysninger og risikoen for de registrerede, skal der være en passende sikkerhed på e-mailen. Datatilsynet har oplyst om brugen af kryptering på transportlaget og End-to-end kryptering. Ved kryptering på transportlaget i form af f.eks. Transport Layer Security (TLS) så er selve transporten krypteret, mens indholdet i mailen ikke er krypteret. I kontrast til dette er End-to-end kryptering, hvori afsender og modtager hver har en offentlig- og privatnøgle til at sende og modtage sikker e-mail. Det er samme mekanisme, der anvendes ved NemID. For at illustrere hvordan man skal forstå TLS og End-to-end kryptering, så kan der med fordel gives et eksempel med udgangspunkt i breve frem for e-mail:

 

EKSEMPEL: Advokatfirmaet Morten Knoth fremsender en række breve med helbredsoplysninger til en gruppe af klienter i et fælles søgsmål. Brevene vil herefter blive håndteret af Post Nords medarbejdere og andre der har adgang til brevet. Dette svarer til, at brevet ikke er krypteret. Der er derfor en risiko for, at brevene bliver læst igennem undervejs. Hvis brevene var krypteret var End-to-end krypteret, så ville Advokatfirmaet Morten Knoth aflevere en række bokse indeholdende et brev pr. boks. Således ville kun modtageren af boksen kunne åbne boksen med en nøgle. Ved TLS kryptering, ville indholdet ikke være krypteret, men kun selve transporten. OBS: Dette er selvfølgelig et meget forenklet eksempel, som blot skal tjene til forståelse af kryptering.

 

Der findes en række forskellige krypteringsmetoder, hvorefter den dataansvarlige skal vurdere fremsendelse af personoplysninger med risikoen for den registrerede. Det vil sige, at hvis der er tale om meget følsomme personoplysninger kontra normale personoplysninger, så skal der anvendes en højere sikkerhed ved følsomme personoplysninger. På baggrund af denne vurdering, så er det anbefalesværdigt at anvende kryptering ved sådan fremsendelser af e-mails – altså End-to-end kryptering.

 

Hvis du har spørgsmål angående kryptering af e-mails eller andre generelle spørgsmål omkring Databeskyttelsesforordningen, er du mere end velkommen til at kontakte os på telefon 20 22 80 81 eller på mail@advokatknoth.dk.

 

Venlig hilsen

Rasmus Ellegaard Jørgensen

Legal Trainee