FremdriftNyheder

Konkretisering vedr. kryptering af emails

Datatilsynet har udsendt en konkretiserende opfølgning til meddelelsen i juli om skærpede krav til den private sektors transmission af fortrolige og følsomme personoplysninger med e-mail via Internettet. Det har hidtil været et krav, at offentlige myndigheder skal kryptere transmissionen, men fremadrettet gælder kravet om kryptering både for offentlige og private aktører.

Da praksisændringen vil kræve tilpasning, har Datatilsynet besluttet først at håndhæve ovenstående fra 1. januar 2019.

Når en e-mail sendes over internettet uden yderligere sikkerhedsforanstaltninger, kan man som afsender eller modtager ikke vide, hvilke maskiner og servere m.v. den konkrete e-mail passerer igennem undervejs, herunder hvor i verden disse maskiner er placeret. Alle personer, der har adgang til netværket eller mail-serverne, som e-mailen passerer på sin vej, vil i praksis kunne læse informationer i e-mailen. Når offentlige og private aktører fremover sender følsomme eller fortrolige oplysninger, skal e-mails derfor sendes på en måde, hvor indholdet i e-mailen ikke kan tilgås af uvedkommende. Det er her, Datatilsynet har præciseret, at krypteringen kan foretages ved enten at kryptere transportlaget, som e-mail/datapakker sendes igennem, eller man kan kryptere selve indholdet af e-mailen ved afsendelsen.

Udover at føre en fortegnelse (kortlægning af persondata), sikre lovlig behandling og sikre registreredes rettigheder, skal den dataansvarlige virksomhed bl.a. også sikre, at persondata er utilgængelige for uvedkommende, samt at persondata internt i organisationen kun er tilgængelige for medarbejdere, der har arbejdsbetinget behov for persondata. Det er den dataansvarlige, der selv vurderer, hvilken løsning der tilvejebringer tilstrækkelig sikkerhedsniveau i forhold til virksomhedens aktiviteter, infrastruktur samt risikovurdering. I denne forbindelse skal man være opmærksom på, såfremt man vælger at kryptere transportlaget alene, at e-mails stadig opbevares ukrypteret på afsenders og modtagers servere, og dermed potentielt er tilgængelige for uvedkommende.

Ovenstående giver anledning til, at man får kryptering af mails på dagsordenen og får talt med sin it-ansvarlige i organisationen eller med en ekstern it-rådgiver for at finde den rette løsning for virksomheden. Man kan læse mere om Datatilsynets uddybende tekst om kryptering af e-mails her.

Kontakt

Jathavan Shanmugam, 2529 6057, jathavan.shanmugam@dk.ey.com