Krav om kryptering af e-mails

Sender I følsomme eller fortrolige personoplysninger via e-mails? Så skal e-mailene krypteres senest 1. januar 2019.

Datatilsynet ændrer praksis som følge af EU’s databeskyttelsesforordning og i erkendelse af, at e-mail i dag er den mest anvendte måde at sende alle slags oplysninger på, også de følsomme eller fortrolige.

Ændringen vedrører den private sektor, da den offentlige sektor allerede siden år 2000 har skullet anvende kryptering.

Den nye praksis stiller to typer krav til de private virksomheder:

  • Medarbejderne skal vide hvornår og hvordan, der krypteres
  • Der skal etableres en teknisk løsning til kryptering af e-mails.

Hvilke e-mails skal krypteres? Og hvordan?

Når I som virksomhed skal finde ud af, hvilke af jeres e-mails, der fremover skal krypteres, så er det afgørende, hvilke typer af følsomme eller fortrolige personoplysninger, I putter i jeres e-mails: Jo større skade det kan forvolde på den registrerede, hvis e-mailen ender i de forkerte hænder, jo stærkere kryptering. Det princip gælder generelt i databeskyttelsesforordningen, og I har muligvis allerede kortlagt, hvilke personoplysninger I behandler og hvordan, f.eks. med inspiration fra Beierholms artikel ”Ny vejledning om hvordan man passer godt på personoplysninger”.

Det drejer sig naturligvis først og fremmest om de følsomme personoplysninger, herunder race og etnisk oprindelse, politisk overbevisning, genetiske data m.v. Lige så vigtige er de ikke-følsomme, men i nogen tilfælde fortrolige oplysninger, som eksempelvis indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, CPR-nummer samt interne familieforhold. Læs artiklen om de forskellige typer personoplysninger her.

Det er vigtigt, at ledelsen i den enkelte virksomhed har overblik over, hvilke medarbejdere, der har adgang til fortrolige og følsomme personoplysninger og ikke mindst sørger for, at disse medarbejdere kender reglerne og ved, hvordan de i praksis gør, når de skal sende krypterede e-mails. Hvis jeres virksomhed ikke har det overblik, er det absolut et godt tidspunkt at få styr på det nu. Al erfaring viser, at det tager lang tid at ændre veletablerede arbejdsgange og rutiner, både i større og mindre virksomheder.

Hvilken teknisk løsning skal vi vælge til kryptering af e-mails?

Der kan desværre ikke gives en enkelt anbefaling til, hvilken type løsning, I skal vælge for at leve op til den nye praksis.

Det afhænger jo bl.a. af, hvilke personoplysninger, I sender. Datatilsynet har da heller ikke lavet en egentlig vejledning om det, men Allan Frank, der er it-sikkerhedsekspert og jurist hos Datatilsynet, har til Ingeniørens netmedie www.version2.dk udtalt, at man som minimum skal have TLS-kryptering: Læs mere på version2.dk. TLS beskytter en e-mail under transport, men skulle du komme til at sende til en forkert modtager, så kan vedkommende åbne e-mailen. Hvis du skal være helt sikker på, at kun den tilsigtede modtager kan åbne e-mailen, skal du anvende end-to-end kryptering, altså kryptering med nøgler.

Der er mange udbydere af krypterede e-mailløsninger, og vi anbefaler, at I tager en snak med jeres revisor fra Beierholm eller en anden uvildig rådgiver, så I får valgt den helt rigtige løsning: Tilstrækkelig sikker til formålet og til at arbejde med i dagligdagen.

HENT PRINTVENLIG UDGAVE (PDF) AF DETTE NYHEDSBREV HER

Find en revisor nær dig

Find revisor

in
Share
f
Share
Share