Persondata

Sender du stadig oplysninger ukrypteret?

17. december 2018

Virksomheder har til 1. januar til at få styr på krypteringen af e-mails med fortrolige og følsomme personoplysninger.

I sommers skærpede Datatilsynet sin praksis om personoplysninger, der sendes via e-mail. Nu er det ikke længere bare en anbefaling, at den private sektor skal anvende kryptering ved e-mail med fortrolige og følsomme personoplysninger. Fremover skal der anvendes kryptering. Datatilsynet begynder at håndhæve denne praksis fra 1. januar 2019.

Hvad er fortrolige og følsomme oplysninger?

Følsomme oplysninger er en bestemt kategori af oplysninger i persondataforordningen, som skal behandles særligt. De oplysninger der udgør følsomme oplysninger er opremset i persondataforordningens artikel 9. Det er oplysninger om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Fortrolige personoplysninger er ikke defineret i persondataforordningen, men nogle oplysninger vil typisk falde under kategorien. For eksempel vil følgende oplysninger blive betragtet som fortrolige oplysninger.

  • Personnumre (hvilket ofte betyder kopi af pas, kørekort og sygesikring)
  • Oplysninger om strafbare forhold,
  • Oplysninger, som er omfattet af lovbestemt tavshedspligt eller som er fortrolige efter særlovgivningen.

Derudover vil oplysninger, der er nødvendige at hemmeligholde for at varetage væsentlige hensyn til offentlige eller private interesser, typisk være fortrolige oplysninger. Det kan være oplysninger om sociale problemer, formueforhold eller interne familieanliggende.

Hvorfor skal der anvendes kryptering?

Almindelige e-mails anvendes i dag af alle, ofte på åbne netværk. Desværre er det forholdsvist nemt for uvedkommende at få adgang til indholdet, og almindelige e-mails kan derfor ikke anses for ”sikkert”. Før e-mail kan anses for sikkert, bør indholdet i e-mailen ikke kunne tilgås af uvedkommende. Ved at anvende kryptering kan man sikre, at uvedkommende ikke kan få adgang til indholdet.

Databeskyttelsesforordningen har en ”risikobaseret tilgang til behandlingssikkerhed”. Det betyder, at jo større risiko for den registreredes rettigheder, jo mere sikkerhed skal der være.

Hvis man benytter e-mail til at videresende fortrolige eller følsomme oplysninger, så er det Datatilsynets opfattelse, at det vil være en passende sikkerhedsforanstaltning at anvende kryptering. Med andre ord: anvender man ikke kryptering, så er der ikke foretaget passende sikkerhedsforanstaltninger, og det vil være en overtrædelse af persondatareglerne.

Hvilken slags kryptering?

Der er forskellige mulige løsninger, når man vil anvende kryptering på e-mail. Datatilsynet har ikke stillet krav om, at der skal anvendes en bestemt løsning, men de har givet udtryk for nogle mindstekrav.

Typisk taler man om to forskellige tilgange til kryptering:

  1. Kryptering på transporten af datapakker, som indeholder mailen
  2.  End-to-end kryptering på indholdet af e-mailen

Ved brug af kryptering på transporten, fx ved brug af Transport Layer Security (TLS), vil e-mailen som udgangspunkt blive lagret i ukrypteret og læselig tilstand. Datatilsynet har givet udtryk for, at kryptering på transportlaget er et minimumsniveau for sikkerheden, og at der bør anvendes TLS 1.2 eller nyere under hele transmissionen fra afsendelse til modtagelse.

Ved en end-to-end kryptering har både afsender og modtager hver nøgler til henholdsvis at kryptere og få adgang til indholdet i mailen. Man kan vælge mellem flere forskellige løsninger med en end-to-end kryptering. I nogle situationer kan det være en udfordring at få generet og udvekslet nøgler, for at få end-to-end løsningen i brug, men det er til gengæld en mere sikker løsning.

End-to-end kryptering vil derfor være passende i de situationer, hvor der er en høj risiko for de registrerede. For eksempel hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler. Hvis der er et løbende samarbejde med databehandleren, vil der forholdsvist nemt kunne udveksles nøgler, og parterne kan sende e-mails frem og tilbage til hinanden.

IUNO mener

Hvis virksomheden ikke allerede har mulighed for kryptering af e-mails, så er det nu, de skal få styr på det.

Når der vælges krypteringsløsning, bør der blandt andet ses på, hvor store mængder data virksomheden sender, hvilken type, hvor ofte, og hvem der er modtagere mm. Det kan også have indflydelse, hvilken løsning faste samarbejdspartnere har valgt.

Husk, at alle medarbejdere, der muligvis sender mails med følsomme eller fortrolige oplysninger, skal være klar over, hvordan de skal håndtere det. IUNO anbefaler, at virksomheden sørger for klare politikker og underviser medarbejderne, så de er klædt godt på. Spørg os endelig, så kan vi finde en løsning sammen.

I sommers skærpede Datatilsynet sin praksis om personoplysninger, der sendes via e-mail. Nu er det ikke længere bare en anbefaling, at den private sektor skal anvende kryptering ved e-mail med fortrolige og følsomme personoplysninger. Fremover skal der anvendes kryptering. Datatilsynet begynder at håndhæve denne praksis fra 1. januar 2019.

Hvad er fortrolige og følsomme oplysninger?

Følsomme oplysninger er en bestemt kategori af oplysninger i persondataforordningen, som skal behandles særligt. De oplysninger der udgør følsomme oplysninger er opremset i persondataforordningens artikel 9. Det er oplysninger om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Fortrolige personoplysninger er ikke defineret i persondataforordningen, men nogle oplysninger vil typisk falde under kategorien. For eksempel vil følgende oplysninger blive betragtet som fortrolige oplysninger.

  • Personnumre (hvilket ofte betyder kopi af pas, kørekort og sygesikring)
  • Oplysninger om strafbare forhold,
  • Oplysninger, som er omfattet af lovbestemt tavshedspligt eller som er fortrolige efter særlovgivningen.

Derudover vil oplysninger, der er nødvendige at hemmeligholde for at varetage væsentlige hensyn til offentlige eller private interesser, typisk være fortrolige oplysninger. Det kan være oplysninger om sociale problemer, formueforhold eller interne familieanliggende.

Hvorfor skal der anvendes kryptering?

Almindelige e-mails anvendes i dag af alle, ofte på åbne netværk. Desværre er det forholdsvist nemt for uvedkommende at få adgang til indholdet, og almindelige e-mails kan derfor ikke anses for ”sikkert”. Før e-mail kan anses for sikkert, bør indholdet i e-mailen ikke kunne tilgås af uvedkommende. Ved at anvende kryptering kan man sikre, at uvedkommende ikke kan få adgang til indholdet.

Databeskyttelsesforordningen har en ”risikobaseret tilgang til behandlingssikkerhed”. Det betyder, at jo større risiko for den registreredes rettigheder, jo mere sikkerhed skal der være.

Hvis man benytter e-mail til at videresende fortrolige eller følsomme oplysninger, så er det Datatilsynets opfattelse, at det vil være en passende sikkerhedsforanstaltning at anvende kryptering. Med andre ord: anvender man ikke kryptering, så er der ikke foretaget passende sikkerhedsforanstaltninger, og det vil være en overtrædelse af persondatareglerne.

Hvilken slags kryptering?

Der er forskellige mulige løsninger, når man vil anvende kryptering på e-mail. Datatilsynet har ikke stillet krav om, at der skal anvendes en bestemt løsning, men de har givet udtryk for nogle mindstekrav.

Typisk taler man om to forskellige tilgange til kryptering:

  1. Kryptering på transporten af datapakker, som indeholder mailen
  2.  End-to-end kryptering på indholdet af e-mailen

Ved brug af kryptering på transporten, fx ved brug af Transport Layer Security (TLS), vil e-mailen som udgangspunkt blive lagret i ukrypteret og læselig tilstand. Datatilsynet har givet udtryk for, at kryptering på transportlaget er et minimumsniveau for sikkerheden, og at der bør anvendes TLS 1.2 eller nyere under hele transmissionen fra afsendelse til modtagelse.

Ved en end-to-end kryptering har både afsender og modtager hver nøgler til henholdsvis at kryptere og få adgang til indholdet i mailen. Man kan vælge mellem flere forskellige løsninger med en end-to-end kryptering. I nogle situationer kan det være en udfordring at få generet og udvekslet nøgler, for at få end-to-end løsningen i brug, men det er til gengæld en mere sikker løsning.

End-to-end kryptering vil derfor være passende i de situationer, hvor der er en høj risiko for de registrerede. For eksempel hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler. Hvis der er et løbende samarbejde med databehandleren, vil der forholdsvist nemt kunne udveksles nøgler, og parterne kan sende e-mails frem og tilbage til hinanden.

IUNO mener

Hvis virksomheden ikke allerede har mulighed for kryptering af e-mails, så er det nu, de skal få styr på det.

Når der vælges krypteringsløsning, bør der blandt andet ses på, hvor store mængder data virksomheden sender, hvilken type, hvor ofte, og hvem der er modtagere mm. Det kan også have indflydelse, hvilken løsning faste samarbejdspartnere har valgt.

Husk, at alle medarbejdere, der muligvis sender mails med følsomme eller fortrolige oplysninger, skal være klar over, hvordan de skal håndtere det. IUNO anbefaler, at virksomheden sørger for klare politikker og underviser medarbejderne, så de er klædt godt på. Spørg os endelig, så kan vi finde en løsning sammen.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo

12. april 2019

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo

22. februar 2019

Er vikarer og konsulenter databehandlere?

logo
Persondata

28. januar 2019

Uklart samtykke og manglende gennemsigtighed koster dyrt

logo
Persondata Corporate

22. januar 2019

Har din virksomhed styr på persondata inden revisionen?

logo

18. januar 2019

Husk oplysningspligten

logo
Persondata

8. januar 2019

Behandling af persondata i frivillige foreninger

Events

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret