Præcisering af Datatilsynets krav til kryptering af e-mails indeholdende følsomme eller fotrolige personoplysninger.

 I juli meddelte Datatilsynet, at praksis vedrørende kryptering af e-mails vil blive skærpet, således at det fremover ikke blot er den offentlige sektor, men tillige den private sektor, der vil være forpligtet til at kryptere e-mails, der indeholder følsomme eller fortrolige personoplysninger. Det vil altså sige, at man også som privat virksomhed vil være forpligtet til at anvende en kryptering hver gang, man sender en e-mail, der indeholder følsomme eller fortrolige personoplysninger.

Datatilsynet har i den forbindelse netop udgivet en præcisering af hvilken type kryptering, der vil blive stillet krav om at bruge.

Skærpelsen vi blive håndhævet fra den 1. januar 2019, hvorfor det allerede nu er relevant at gennemgå din virksomheds behov for kryptering af e-mails.  

De to mest anvendte krypteringsformer er transport layer kryptering og end-to-end kryptering, hvoraf end-to-end kryptering er mest sikker, men samtidig mere tidskrævende. Ved end-to-end kryptering er det udelukkende afsenderen og modtageren, der har mulighed for at læse indholdet af den pågældende e-mail, idet man skal indtaste en bestemt nøglekode hver gang, man ønsker at læse e-mailen.

Ved transport layer kryptering sker der en kryptering, når e-mailen bevæger sig fra afsenders e-mailserver til modtagerens e-mailserver, således en eventuel hacker ikke har mulighed for at tilgå e-mailen, når den er undervejs. Sammenlignet med almindelig post vil det svare til, at man sender en kasse med lås på i stedet for et almindeligt brev, som postbuddet eller andre uvedkommende har mulighed for at åbne og læse. Når e-mailen herefter når frem til modtageren, vil den ikke længere være krypteret, således man har mulighed for at åbne den krypterede e-mail på lige fod med andre ikke-krypterede e-mails i modsætning til end-to-end kryptering. 

Ved Datatilsynets netop afgivne præcisering er det blevet slået fast, at det er tilstrækkeligt at anvende transport layer kryptering til at fremsende e-mails med personoplysninger. Hvis der er tale om en e-mail med større mængder personoplysninger, vil man dog være forpligtet til at anvende end-to-end kryptering.  

Du kan læse Datatilsynets udtalelse om kryptering af e-mails her.

Hvis du har spørgsmål til ovenstående, eller til hvordan din virksomhed i øvrigt skal forholde sig til behandling af personoplysninger, er du altid velkommen til at kontakte os på 88 44 11 36 eller ckh@agendaadvokater.dk.