Fremdrift

Indtast dit søgeord

Nye afgørelser fra Datatilsynet om kryptering af mails

19. november, 2019 6 minutters læsetid

    Sociale medier

Siden 1. januar 2019 er det blevet et krav for private virksomheder at anvende kryptering ved fremsendelse af fortrolige og følsomme personoplysninger via e-mails.

I forbindelse hermed har Datatilsynet i foråret gennemført tilsynsbesøg hos private virksomheder, og tilsynet har truffet afgørelse i fire sager om behandlingssikkerhed med særlig fokus på kryptering af mails med fortrolige og/eller følsomme personoplysninger.

I to af afgørelserne (vedr. et advokatfirma samt et revisionsfirma) konkluderede Datatilsynet, at virksomhederne efterlevede bestemmelserne i databeskyttelsesforordningen mht. kryptering af mails samt udarbejdelse af risikovurdering, hvor der er taget stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over Internettet.

I to øvrige afgørelser har Datatilsynet udtalt kritik af et kontorfællesskab for advokater samt af en fagforening. Nedenfor opsummeres væsentlige punkter fra de to afgørelser.

Afgørelserne giver virksomhederne anledning til særligt at følge op på, om virksomhederne generelt har udarbejdet en skriftlig risikovurdering for samtlige behandlingsaktiviteter, og om virksomhederne har sikret passende mulighed for kryptering af e-mails indeholdende fortrolige og/eller følsomme personoplysninger.

Læs mere om Datatilsynets nyhed her

Kontorfællesskabet af advokatfirmaer fik udtalt kritik af manglende kryptering samt manglende risikovurdering af behandlingsaktiviteten vedr. fremsendelse af e-mails indeholdende personoplysninger

Kontorfællesskabet anvendte tre krypteringsløsninger:

1. Send sikkert-løsning (S/MIME) anvendes typisk med NEMID certifikater til medarbejdere og virksomheder for at verificere, at det kun er den tiltænkte modtager, som kan åbne mailen.
2. Tunnelmail krypterer domæne til domæne, hvor brugere på et domæne tilmeldt tunnelmail-listen, som man har tillid til, kan kommunikere med alle andre brugere på et andet domæne, som også er tilmeldt tunnelmail-listen.
3. TLS krypterer ikke data men derimod forbindelsen (transportlag) mellem to mailsystemer og sikrer, at personer, der evt. kunne opfange posten undervejs, ikke kan læse den. TLS kræver, at både afsenders og modtagers system understøtter TLS.

Punkt 1 og 2 ovenfor var for afsenderen i kontorfællesskabet integreret i Outlook via en knap med teksten ”Send sikkert”. Ved tryk på denne knap kunne det undersøges, om den angivne modtageradresse kunne modtage krypteret e-mail enten via Send sikkert-løsningen eller via tunnelmail løsningen. Hvis modtageren understøttede en af de to nævnte løsninger, ville feltet blive markeret med grøn farve og ellers med rød farve. Hvis modtageren ikke understøttede en af løsningerne, kunne afsenderen vælge at sende e-mailen alligevel. I så fald foregik afsendelsen med opportunistisk TLS uden nogen garanti for, at e-mailen blev afsendt krypteret.

I de tilfælde, hvor løsninger jf. punkt 1 og 2 blev anvendt, vurderede Datatilsynet, at kontorfællesskabet anvendte tilstrækkelig behandlingssikkerhed.

Blev krypteringsløsning jf. punkt 3 anvendt uden yderligere tiltag, kunne der ikke opnås en garanti for, at modtagerdomænet understøttede krypteringen. Da kontorfællesskabet ikke på tidspunktet for tilsynet havde indført procedurer, som sikrede, at modtagerdomænet understøttede TLS kryptering forud for afsendelse af fortrolige og følsomme personoplysninger, udtalte Datatilsynet kritik af dette forhold.

Kontorfællesskabet meddelte efter tilsynsbesøget, at der ville blive indført procedurer for, at det i tvivlstilfælde kan undersøges, om modtagerdomænet understøttes af TLS, forud for afsendelse af en e-mail indeholdende fortrolige eller følsomme personoplysninger.

Kontorfællesskabet havde forud for tilsynsbesøget fremsendt risikovurdering for kontorfællesskabets behandling af personoplysninger, men risikovurderingen indeholdt ikke overvejelser om behandlingsaktiviteten for e-mails indeholdende personoplysninger, der tog stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet. Det er Datatilsynets vurdering, at den manglende risikovurdering har medført utilstrækkelige sikkerhedsforanstaltninger i forhold til e-mails til klienter og pårørende.

Kontorfællesskabet meddelte efter tilsynsbesøget, at behandlingsaktiviteten for e-mail kontakt med klienter ville blive indarbejdet i den eksisterende risikovurdering.

Kritik af fagforeningens anvendelse af personnummer som password, afsendelse af ukrypterede mails samt manglende anmeldelse af brud på persondatasikkerheden

Efter tilsynsbesøg hos fagforeningen konkluderede Datatilsynet, at fagforeningen på 4 ud af 6 punkter efterlevede databeskyttelsesforordningens bestemmelser om behandlingssikkerhed ifm. kryptering af e-mails samt udarbejdelse af risikovurdering. Fagforeningen modtog dog kritik af:

4. at have anvendt personnummeret på den person, e-mailen vedrørte, som password til læsning af krypteret mail.
5. i en periode fra 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold, og uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.

Fagforeningen oplyste til Datatilsynet, at personnummeret var valgt som password, så både modtageren og en evt. tredjepart – f.eks. en advokat eller arbejdsgiver – kunne tilgå e-mailen, og at personnummeret fungerede som genkendelsesmetode for både medlemmet og tredjeparten. Personnummeret blev ikke oplyst, men det blev anført, at personnummeret udgjorde passwordet.

Datatilsynet vurderede, at fagforeningen ikke har gennemført passende sikkerhedsforanstaltninger, idet tilsynet lagde vægt på, at:

• fødselsdato er en almindelig, ikke-følsom personoplysning, der ofte vil være kendt af andre end den registrerede,

• tildeling af et personnummer følger en offentlig kendt metode, hvormed de mulige personnumre for en given fødselsdato kan indskrænkes til et lille antal muligheder,

• personnummer anvendes bredt på tværs af myndigheder mv., hvilket medfører en høj sandsynlighed for (og dermed forhøjet risiko), at fortroligheden af de oplysninger, som adgangskontrollen skal sikre, kompromitteres.

Fagforeningen har oplyst til Datatilsynet, at fagforeningen har kendskab til fire tilfælde siden 1. januar 2019, hvor e-mails var blevet sendt uden kryptering, hvoraf oplysninger om fagforeningsmæssigt tilhørsforhold kunne udledes. De pågældende e-mails var sendt med opportunistisk TLS.

I perioden 1. januar til 28. februar 2019 blev 1.544 adviseringsmails desuden sendt via opportunistisk TLS, hvoraf oplysninger om fagforeningsmæssigt tilhørsforhold muligvis kunne udledes, grundet en fejl hvor der i brødteksten fremgik ordet ”Fagforening” i stedet for ”Fagforeningens navn”.

Fagforeningen har efter egen vurdering ikke anmeldt hændelserne til Datatilsynet, idet fagforeningen lagde vægt på, at fagforeningen var sikker på, at e-mailen var stilet til den korrekte modtager, samt at e-mails var fremsendt med opportunistisk TLS. Det er dog Datatilsynets vurdering, at de pågældende brud på persondatasikkerheden burde have været anmeldt.

Andre relevante artikler

Kontakt

Er du interesseret i vores ydelser? Vil du lave en forespørgsel? Kontakt os via nedenstående formular og vi vender tilbage så snart vi kan. Du kan også kontakte et lokalt kontor.

Abonner på EY's nyhedsbreve

EY udgiver en række nyhedsbreve, der er relevante for små og mellemstore virksomheder. Nyhedsbrevene er gratis og indeholder korte artikler, der beskriver aktuelle lovkrav og udfordringer, samt fakta og inspiration til virksomhedsejere, direktører, økonomichefer m.fl. Du tilmelder dig via nedenstående link.

Få nyheder fra EY

Vil du have hjælp?

Hvordan kan du udvikle din virksomhed?

Vi har lang erfaring med de udfordringer, som du og din virksomhed står overfor - uanset om der er tale om revision, regnskab, skat eller anden rådgivning.