GDPR: Sikker mail af fortrolige og personfølsomme oplysninger med kryptering …

GDPR: Sikker mail af fortrolige og personfølsomme oplysninger med kryptering

2018 var året hvor GDPR blev det nye sort, og Datatilsynet blev for alvor kendt af de danske virksomheder. For mange virksomheder var beskyttelse af persondata helt nyt land, og GDPR reglerne blev mødt med stor usikkerhed og forvirring.

Nu er Datatilsynet så igen på banen. Denne gang gælder det sikkerheden omkring e-mails, som indeholder fortrolige eller personfølsomme oplysninger.

I dette blogindlæg kan du kort læse om GDPRs tilblivelse, de skærpede krav til kryptering af mails samt de forskellige krypteringsmuligheder, der er ved forsendelse af fortrolige og personfølsomme oplysninger. Ligesom du kan se en liste over fortrolige og personfølsomme oplysninger, som er de oplysninger der fra 1. januar 2019 skal sendes krypteret.

Tidsforbrug: ca. 3 min.

GDPR et kort tilbageblik

Databeskyttelsesforordningen, Persondataforordningen og GDPR er det samme. GDPR står for General Data Protection Regulation, og blev for alvor kendt, da den europæiske persondataforordning trådte i kraft den 25. maj 2018.

Formålet med GDPR er at give EU og EØS borgere større kontrol over deres personlige data. Der skelnes i GDPR ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – personen er personen.

GDPR gælder for alle virksomheder og organisationer som opbevarer personlige data om borgere i Europa.

GDPR. Kryptering af mails

Skærpede krav til kryptering af mail

Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og personfølsomme oplysninger via mail. Husk, det er ikke kun eksterne mails som indeholder fortrolige og personfølsomme oplysninger der skal krypteres, det samme gælder for al intern kommunikation.

Denne anbefaling er nu skærpet og pr. 1. januar 2019 er det et krav, at e-mails som indeholder fortrolige og personfølsomme oplysninger, skal sendes krypteret. Det gælder både for private virksomheder, foreninger og andre organisationer.

Læs mere om kryptering af mails på Datatilsynets hjemmeside her

Hvad er fortrolige og personfølsomme oplysninger?

Nedenfor kan du se en oversigt over IKKE fortrolige, fortrolige og personfølsomme oplysninger jævnfør persondataforordningen.

IKKE fortrolige oplysninger

  • Navn og adresse
  • Økonomi skat og gæld
  • Oplysninger af objektiv karakter, såsom udstedelse af pas, kørekort og jagttegn mm.

Fortrolige oplysninger

  • Personnummer
  • Oplysninger om straffedomme og lovovertrædelser
  • Oplysninger om indtægts – og formueforhold
  • Oplysninger om arbejds- uddannelses- og ansættelsesmæssige forhold
  • Oplysninger om interne familieforhold f.eks. selvmordsforsøg og ulykkestilfælde mm.

Personfølsomme oplysninger

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Genetisk data
  • Biometriske data
  • Helbredsoplysninger
  • Seksuelle forhold eller orientering

Kryptering ved transmission eller end to end

Kryptering af mail kan ske på flere måder

Kryptering er et vidt begreb og når Datatilsynet taler om kryptering, så taler de enten om kryptering under transmission eller end-to-end kryptering.

Kryptering under transmission

Den mest udbredte form for kryptering under transmission også kaldet kryptering af transportslaget er Transport Layer Security (TLS). TLS understøttes af de fleste mail-servere som f.eks. Gmail, Outlook og Hotmail.

Understøtter både afsender og modtager TLS så krypteres mail på vejen fra afsender til modtager. Ved kryptering af transmission er det altså selve den tunnel som mail sendes igennem der krypteres, og ikke selve indholdet i mail.

Problemet med TLS opstår, hvis modtagers mailserver ikke understøtter TLS. E-mail vil nemlig stadig blive sendt til modtagers server, og uden kryptering vil det derfor være forholdsvis nemt for udenforstående at opsnappe kommunikationen.

Forced TLS

Ovenstående problemstilling kan løses med Forced TLS, men dette er dog ikke uden problemer.

For eksempel forbyder indstillingen mailservere at tale med andre servere, der ikke understøtter TLS. Det kan i værste fald betyde, at mail aldring kommer frem til modtager.

End-to-end kryptering

Alternativet til, eller som ekstra foranstaltning til kryptering under transmission er end-to-end kryptering.

End-to-end kryptering er kryptering af selve e-mailens indhold. Her sendes indhold krypteret og modtager skal så bruge en kode til at afkryptere indhold.

Kryptering af e-mails bliver meget hurtigt meget teknisk. Vi anbefaler derfor at du sætter dig grundigt ind i kravene til sikker transmission af e-mails og de forskellige systemmuligheder.

Du kan læse meget mere om kryptering af e-mails på blandt andet Trustzone og Datatilsynets hjemmeside

Viborg Løn overholder Datatilsynets krav til sikker mail

Hos Viborg Løn bruger vi Office 365, som understøtter begge krypteringsmuligheder. Vi overholder på den måde Datatilsynets skærpede krav til transmission af mails indeholdende fortrolige og personfølsomme oplysninger.

Uanset hvilken udbyder du bruger, så er det vigtigste, at man forholder sig til de skærpede krav og sikre at virksomhed har den rette omgang med fortrolige og personfølsomme oplysninger.

Brug for hjælp

Vi kan tilbyde, at etablere hele Office 365 pakken med OneDrive og kryptering via Scannet. Hør nærmere om mulighederne ved henvendelse til vores marketingansvarlige Liv på salg@viborgloen.dk .

Læs også …

Den nye ferielov – det betyder den for arbejdsgiver, medarbejder og nye på arbejdsmarkedet 

Hvad koster en medarbejder

Sådan står det til med lønniveauet i Midtjylland 

Lokal hotline uden ventetid

Skriv en kommentar