GDPR: Sikker mail af fortrolige og personfølsomme oplysninger med kryptering

GDPR har efterhånden været et markant opmærksomhedspunkt i nogle år, og Datatilsynet er for alvor blevet en kendt faktor i de danske virksomheder. For mange virksomheder er beskyttelse af persondata en svær gråzone at navigere i, og GDPR reglerne bliver stadig mødt med stor usikkerhed og forvirring.

Et af de områder i forbindelse med GDPR der fylder meget i debatten netop nu, handler om sikkerheden ved afsendelse og modtagelse af e-mails, der indeholder fortrolige eller personfølsomme oplysninger.

I dette blogindlæg giver vi et kort overblik over det grundlæggende fundament bag GDPR, forinden vi sætter fokus på de skærpede krav til kryptering af mails. Endvidere vil vi give nogle bud på de forskellige krypteringsmuligheder der er ved forsendelse af fortrolige og personfølsomme oplysninger. Endvidere kan du finde en liste med eksempler på fortrolige og personfølsomme oplysninger, som er de oplysninger der fra 1. januar 2019 skal sendes krypteret.

Helt kort om GDPR

Databeskyttelsesforordningen, Persondataforordningen og GDPR er forskellige talemåder om det samme emne. GDPR står for General Data Protection Regulation, og blev for alvor kendt, da den europæiske persondataforordning trådte i kraft den 25. maj 2018.

Formålet med GDPR er at give borgere i EU og EØS større sikkerhed over deres personlige data. Der skelnes i GDPR ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – en person er en person. Reglerne har i stedet fokus på følsomheden af de persondata som – i dette tilfælde virksomheder – behandler.

GDPR gælder for alle virksomheder og organisationer som opbevarer personlige data om borgere i Europa.

Skærpede krav til kryptering af mail

Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og personfølsomme oplysninger via mail. Det er ikke kun eksterne mails som indeholder fortrolige og personfølsomme oplysninger der skal krypteres, det samme gælder for al intern kommunikation.

Denne anbefaling er nu skærpet og pr. 1. januar 2019 er det et krav, at e-mails som indeholder fortrolige og personfølsomme oplysninger, skal sendes krypteret. Det gælder både for private virksomheder, foreninger og andre organisationer.

Læs mere om kryptering af mails på Datatilsynets hjemmeside her

Hvad er fortrolige og personfølsomme oplysninger?

Nedenfor kan du se en række eksempler på IKKE fortrolige, fortrolige og personfølsomme oplysninger jævnfør persondataforordningen.

IKKE fortrolige oplysninger

Navn og adresse
Økonomi skat og gæld
Oplysninger af objektiv karakter, såsom udstedelse af pas, kørekort og jagttegn mm.
NemKonto-nummer

Fortrolige oplysninger

Personnummer
Oplysninger om straffedomme og lovovertrædelser
Konkrete oplysninger om indtægts – og formueforhold
Oplysninger om arbejds- uddannelses- og ansættelsesmæssige forhold
Oplysninger om interne familieforhold f.eks. selvmordsforsøg og ulykkestilfælde mm.
Fagforeningsmæssig tilknytning

Personfølsomme oplysninger

Race og etnisk oprindelse
Politisk overbevisning
Religiøs eller filosofisk overbevisning
Genetisk data
Biometriske data
Helbredsmæssige oplysninger
Seksuelle forhold eller orientering

Kryptering af e-mails kan ske på flere måder

Kryptering er et vidt begreb og når Datatilsynet taler om kryptering, så tales der enten om kryptering under transmission eller end-to-end kryptering.

Kryptering under transmission

Den mest udbredte form for kryptering under transmission også kaldet kryptering af transportslaget er Transport Layer Security (TLS). TLS understøttes af de fleste e-mail-servere som f.eks. Gmail, Outlook og Hotmail.

Understøtter både afsender og modtager TLS krypteres en e-mail på ”vejen” fra afsender til modtager. Ved kryptering af transmission er det altså selve den tunnel som en e-mail sendes igennem der krypteres, og ikke selve indholdet i en e-mail.

Problemet med TLS opstår, hvis modtagers mailserver ikke understøtter TLS. En e-mail vil nemlig stadig blive sendt til modtagers server, og uden kryptering vil det derfor være forholdsvis nemt for udenforstående at opsnappe kommunikationen.

Forced TLS

Ovenstående problemstilling kan løses med Forced TLS, men dette er dog ikke uden problemer.

For eksempel forbyder indstillingen mailservere at tale med andre servere, der ikke understøtter TLS. Det kan i værste fald betyde, at en e-mail aldrig kommer frem til modtager.

End-to-end kryptering

Alternativet til, eller som ekstra foranstaltning til kryptering under transmission, er end-to-end kryptering.

End-to-end kryptering er kryptering af selve e-mailens indhold. Her sendes indhold krypteret og modtager skal heri bruge en kode til at afkryptere indholdet.

Kryptering af e-mails kan hurtigt blive meget teknisk. Vi anbefaler derfor at du sætter dig grundigt ind i kravene til sikker transmission af e-mails og de forskellige systemmuligheder.

Du kan læse meget mere om kryptering af e-mails på blandt andet Trustzone og Datatilsynets hjemmeside

Viborg Løn & HR overholder Datatilsynets krav til sikker mail

Hos Viborg Løn & HR bruger vi en anbefalet løsning fra Office 365, som understøtter begge krypteringsmuligheder. Med den overholder vi Datatilsynets skærpede krav til transmission af mails indeholdende fortrolige og personfølsomme oplysninger.

Uanset hvilken udbyder du bruger, så er det vigtigste, at du forholder dig til de skærpede krav og sikrer at virksomhed har den rette omgang med fortrolige og personfølsomme oplysninger.

Skal vi hjælpe?

Hos Viborg Løn & HR er vores løn- og HR konsulenter altid klar på at hjælpe, og vi sætter en ære i at være nærværende og have den konkrete kundes behov i fokus. Har du spørgsmål, undren eller bekymringer omhandlende GDPR og kryptering af e-mails? Eller har du har andre spørgsmål til løn og HR? Så er du altid velkommen til at kontakte os, så v kan få en snak om, hvordan vi kan hjælpe lige præcist dig.

Ønsker du for eksempel større sikkerhed på din e-mail-server? Så kan vi tilbyde at etablere hele Office 365 pakken med OneDrive og kryptering via Scannet.

Ring til os på tlf. 87 27 01 00, send os en mail på salg@viborgloen.dk eller udfyld en kontaktformular på viborgloen.dk, så ringer vi dig op.