Vidste du, at kravene til email-kryptering skærpes?
For de fleste er det nok ikke en nyhed, at Datatilsynet skærper kravene til email-kryptering i den private sektor pr. 1. januar 2019.
Hos JCD kan vi da også mærke en øget interesse for at få muligheden for kryptering aktiveret ved vores kunder.
Desværre kan vi også mærke, at der er flere, der er usikre på, hvad Datatilsynets krav til kryptering er.
Det vil jeg prøve at overskueliggøre i den her artikel.
Af Thomas Ertmann Olsen, Salgschef, JCD A/S
Artiklen er oprindeligt bragt på LinkedIn
Hvad siger Datatilsynet?
Siden 2008 har det været praksis, at offentlige myndigheder skulle kryptere transmissionen af persondata. Det har dog ikke været praksis i den private sektor.
Den teknologiske udvikling og risikovurderingen har ændret sig siden dengang. Derfor har Datatilsynet valgt at skærpe sin praksis i forhold til transmissionen af fortrolige og følsomme personoplysninger, der sendes med email via internettet i den private sektor.
Derfor vil det være en ideel sikkerhedsforanstaltning for virksomheder at bruge kryptering, når fortrolige og følsomme personoplysninger sendes med email via internettet.
Hvordan kategoriseres fortrolige persondata?
Vi har efterhånden lært at skelne mellem almindelige og følsomme persondata, men de fleste vil nok studse lidt over betegnelsen fortrolige persondata. Det er heller ikke en kategori, der er defineret i Databeskyttelsesforordningen eller Databeskyttelsesloven. Kategorien er som sådan lidt mere diffus og svær at definere. Jeg vil dog prøve.
Juridisk vil betegnelsen være: ”Oplysninger, der efter en almindelig opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab” (Kilde: Datatilsynet). Vi kan vælge at omskrive det til: ”Oplysninger som efter almindelig fornuft ikke burde komme andre til kendskab”. Oplysningerne kunne være – men er ikke udelukket til:
- CPR-nummer
- Indtægt og formue
- Arbejdsmæssige forhold
- Uddannelsesmæssige forhold
- Ansættelses forhold
- Interne familieforhold (skilsmisse, ulykker osv.)
- Og så videre
Det er vigtigt at lægge mærke til CPR-nummeret. Et CPR-nummer er almindelig persondata men bliver nu kategoriseret som fortrolig.
Ud fra den her korte liste burde du kunne se nogle data, som du/I tidligere ikke har sendt krypteret – det må du ikke efter d. 1. januar.
Hvad er kryptering så?
Når mails normalt sendes via internettet, foregår det i et format, der gør, at alle kan læse med.
Det er fordi, teknologien til at sende mails er fra internettets spæde barndom, og der tænkte vi ikke så meget over sikkerheden.
Det er tit blevet sammenlignet med at sende et postkort via posten; undervejs i postsystemet kan alle tage postkortet, og læse hvad der står. Det er ikke så smart, når der sendes persondata.
Når vi taler om kryptering af mails, findes der 2 forskellige niveauer:
1. Der er enten tale om, at postserverne krypterer kommunikationen imellem dem. Det kaldes Transport Lags Sikkerhed (TLS). Det er den mest simple form for kryptering og kan laves, uden at brugerne skal involveres.
I dag har de fleste moderne mailsystemer TLS, og det er en forholdsvis enkel procedure at slå det til. Det kræver dog, at I, som virksomhed, ved hvem I ønsker at sende krypterede mails til.
2. Alternativet er at indføre end-to-end kryptering. Her bliver mailen krypteret fra den sendes fra afsenders mailprogram til den åbnes på modtagerens mailprogram. Krypteringen kræver, at afsender og modtager har udvekslet krypteringsnøgler med hinanden. Løsningen er mere sikker end TLS, men end-to-end kryptering er mere komplekst og dermed også sværere at implementere. Det kræver mere af brugerne, af systemerne og mere uddannelse.
Hvad skal jeg så vælge som virksomhed?
... tænker du måske. Det er jo naturligvis det store spørgsmål og ikke nødvendigvis helt let at svare på – det er jo derfor, vi er konsulenter :)
Som med andet vi kigger på i forhold til Persondataforordningen, er det konstant en afvejning i den enkelte virksomhed.
For mange virksomheder vil det være tilstrækkeligt at benytte TLS kryptering. Det kræver dog, at virksomheden har defineret, hvilke informationer der må sendes og i hvilke situationer. Det kan også være tilstrækkeligt, at der skal lave om i nogle interne procedurer.
I andre tilfælde er det nødvendigt, at der indføres en end-to-end kryptering. Det kan for eksempel være nødvendigt, hvis data er af følsom karakter, hvor der er en høj risiko for de registrerede, eller hvor der udveksles meget data.
Ligesom med resten af Persondataforordningen er det vigtigt at holde for øje, at forordningen ikke er indført for at genere de danske virksomheder. Det er tiltag, der er med til at sikre os alle i den nye digitale verden, som vi skal begå os i – et sæt spilleregler, om du vil … spilleregler som vi har manglet i alt for lang tid.
Vil du vide mere?
Kontakt JCD på telefon 70 12 00 03
