Kryptering af mail
Et af de områder i forbindelse med GDPR der fylder meget i debatten netop nu, handler om sikkerheden ved afsendelse og modtagelse af e-mails, der indeholder fortrolige eller personfølsomme oplysninger. Derfor er det nødvendigt med kryptering af mail.
I dette blogindlæg giver vi et kort overblik over det grundlæggende fundament bag GDPR, forinden vi sætter fokus på de skærpede krav til kryptering af mails. Endvidere vil vi give nogle bud på de forskellige krypteringsmuligheder der er ved forsendelse af fortrolige og personfølsomme oplysninger. Endvidere kan du finde en liste med eksempler på fortrolige og personfølsomme oplysninger, som er de oplysninger der fra 1. januar 2019 skal sendes krypteret.
Databeskyttelsesforordningen, Persondataforordningen og GDPR er forskellige talemåder om det samme emne. GDPR står for General Data Protection Regulation, og blev for alvor kendt, da den europæiske persondataforordning trådte i kraft den 25. maj 2018. Formålet med GDPR er at give borgere i EU og EØS større sikkerhed over deres personlige data. Der skelnes i GDPR ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – en person er en person. Reglerne har i stedet fokus på følsomheden af de persondata som – i dette tilfælde virksomheder – behandler.
GDPR gælder for alle virksomheder og organisationer som opbevarer personlige data om borgere i Europa.
Skærpede krav til kryptering af mail
Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og personfølsomme oplysninger via mail. Det er ikke kun eksterne mails som indeholder fortrolige og personfølsomme oplysninger der skal krypteres, det samme gælder for al intern kommunikation.
Denne anbefaling er nu skærpet og pr. 1. januar 2019 er det et krav, at e-mails som indeholder fortrolige og personfølsomme oplysninger, skal sendes krypteret. Det gælder både for private virksomheder, foreninger og andre organisationer.
Hvad er fortrolige og personfølsomme oplysninger?
Nedenfor kan du se en række eksempler på IKKE fortrolige, fortrolige og personfølsomme oplysninger jævnfør persondataforordningen:
- Navn og adresse
- Økonomi skat og gæld
- Oplysninger af objektiv karakter, såsom udstedelse af pas, kørekort og jagttegn mm.
- NemKonto-nummer
Fortrolige oplysninger
- Personnummer
- Oplysninger om straffedomme og lovovertrædelser
Konkrete oplysninger om indtægts – og formueforhold - Oplysninger om arbejds- uddannelses- og ansættelsesmæssige forhold
- Oplysninger om interne familieforhold f.eks. selvmordsforsøg og ulykkestilfælde mm.
- Fagforeningsmæssig tilknytning
Personfølsomme oplysninger
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Genetisk data
- Biometriske data
- Helbredsmæssige oplysninger
- Seksuelle forhold eller orientering
Kryptering kan ske på flere måder
Kryptering er et vidt begreb og når Datatilsynet taler om kryptering, så tales der enten om kryptering under transmission eller end-to-end kryptering.
Kryptering under transmission
Den mest udbredte form for kryptering under transmission også kaldet kryptering af transportslaget er Transport Layer Security (TLS). TLS understøttes af de fleste e-mail-servere som f.eks. Gmail, Outlook og Hotmail.
Understøtter både afsender og modtager TLS krypteres en e-mail på ”vejen” fra afsender til modtager. Ved kryptering af transmission er det altså selve den tunnel som en e-mail sendes igennem der krypteres, og ikke selve indholdet i en e-mail.
Problemet med TLS opstår, hvis modtagers mailserver ikke understøtter TLS. En e-mail vil nemlig stadig blive sendt til modtagers server, og uden kryptering vil det derfor være forholdsvis nemt for udenforstående at opsnappe kommunikationen.
Forced TLS
Ovenstående problemstilling kan løses med Forced TLS, men dette er dog ikke uden problemer.
For eksempel forbyder indstillingen mailservere at tale med andre servere, der ikke understøtter TLS. Det kan i værste fald betyde, at en e-mail aldrig kommer frem til modtager.
End-to-end kryptering
Alternativet til, eller som ekstra foranstaltning til kryptering under transmission, er end-to-end kryptering.
End-to-end kryptering er kryptering af selve e-mailens indhold. Her sendes indhold krypteret og modtager skal heri bruge en kode til at afkryptere indholdet.
Kryptering af e-mails kan hurtigt blive meget teknisk. Vi anbefaler derfor at du sætter dig grundigt ind i kravene til sikker transmission af e-mails og de forskellige systemmuligheder.
Du kan læse meget mere om kryptering af e-mails på blandt andet Trustzone og Datatilsynets hjemmeside
Viborg Løn & HR overholder Datatilsynets krav til sikker mail
Hos Viborg Løn & HR bruger vi en anbefalet løsning fra Office 365, som understøtter begge krypteringsmuligheder. Med den overholder vi Datatilsynets skærpede krav til transmission af mails indeholdende fortrolige og personfølsomme oplysninger.
Uanset hvilken udbyder du bruger, så er det vigtigste, at du forholder dig til de skærpede krav og sikrer at virksomhed har den rette omgang med fortrolige og personfølsomme oplysninger.
Brug for hjælp?
I kan ringe til os på tlf. 8727 0100 eller sende en mail på på jura@viborgloen.dk.
Relaterede indlæg
Hvad koster en medarbejder?
Vi har udarbejdet en lønomkostningsberegner, som skal være med til at synliggøre, hvad en medarbejder reelt koster i timen.