Datatilsynet har indskærpet reglerne for, at sende e-mails med persondata. Vi har lavet en kort opsummering.
Har også betydning for din virksomhed Da stort set alle virksomheder benytter e-mails til kommunikation, har indskærpelsen selvfølgeligt også betydning for din virksomhed. Nye krav når man sender e-mails Datatilsynet indskærpede 1. januar 2019 reglerne for, at sende e-mails med fortrolige eller følsomme persondata. De skal efter denne dato sendes krypteret, i den ene eller anden form. Det lyder betryggende, at alle e-mails med fortrolige og følsomme persondata skal sendes krypteret. Men hvad nu hvis man ikke kan kende forskel på de forskellige typer af persondata? – og man ikke ved, hvad der skal krypteres og hvordan? Når vi underviser i GDPR, oplever vi ofte at den enkelte medarbejder, har utroligt svært ved at huske hvornår data er almindelige persondata, følsomme persondata eller fortrolige data. Det er man nødt til at vide, før man kan bestemme hvordan de skal krypteres. Forskellige datatyper I skemaet herunder har vi lavet en oversigt over de forskellige kategorier af persondata / fortrolige data og hvilken type af kryptering, som Datatilsynet anbefaler.
*bør i mange tilfælde end-to-end krypteres efter individuel risikovurdering. Om kryptering Kryptering er en metode, som benyttes til at sikre informationer, så de ikke kan misbruges. Det kan f.eks. være e-mails eller filer, som skal sendes over Internettet. Ved hjælp af avanceret matematik, koder man e-mailen eller filen med en unik krypteringsnøgle, som er påkrævet for at man kan læse indholdet. Der findes forskellige styrker af kryptering, hvor de mest almindelige typer er 128-bit og 256-bit. TLS (Transport Layer Security): TLS er den mest simple form for kryptering og den nemmeste at anvende. Det sker helt automatisk på serveren i samme øjeblik, som e-mailen sendes og der er ingen koder eller andet, som man skal huske. TLS skal være aktiveret på systemet, som sender e-mailen og systemet, som modtager e-mailen. Ellers virker det ikke. Langt de fleste e-mailsystemer har allerede TLS aktiveret. Spørg din it-leverandør om det er slået til, hvis du vil være sikker. TLS beskytter kun e-mails, når de er undervejs på internettet. Kommer man til, at sende en e-mail til en forkert modtager – og det sker jo desværre – så hjælper TLS ikke. End-to-end kryptering: Når man sender følsomme persondata i en e-mail, er man nødt til at være 100 % sikker på, at modtageren er den rigtige - og at informationerne ikke kan læses, hvis de falder i de forkerte hænder. Med end-to-end kryptering, koder man e-mailen med en unik krypteringsnøgle, som modtageren skal have for, at kunne læse (dekryptere) indholdet. Kommer man f.eks. til, at sende en e-mail til en forkert modtager, eller får stjålet krypterede følsomme persondata, så kan modtageren ikke læse dem uden nøglen. End-to-end kryptering kan gøres på forskellige måder. Det kan være med et NEMID certifikat, et PGP krypteringsprogram eller en af de utallige services, som tilbyder kryptering af e-mails. Man kan, som virksomhed også sende krypterede e-mails gennem e-boks. Det kræver, at man bliver tilmeldt til dette via f.eks. Docpoint.
Hvornår skal e-mails krypteres?
Datatilsynet anbefaler, at man benytter en risikobaseret tilgang til, at vurdere hvornår, og hvordan, e-mails skal krypteres.
Det betyder, at det er den enkelte virksomhed, som beslutter hvordan e-mailen skal beskyttes, ud fra at risikovurdere indholdet. Det giver god mening, da det jo er virksomheden, som bærer ansvaret for, at indholdet af e-mailen ikke havner i de forkerte hænder.
Hvis TLS er aktiveret, er man nået langt i forhold til Datatilsynets krav og anbefalinger. Det beskytter jo alle e-mails, imens de er undervejs og kræver ikke, at man gør noget specielt, inden man trykker "send". Nemt og bekvemt.
E-mails med følsomme personoplysninger, er en anden sag. De kræver i mange tilfælde både TLS og end-to-end kryptering. Hvilken løsning man vælger til dette, er afhængig af hvor mange e-mails man sender, indholdet af disse e-mails og hvor ofte man sender.
Vi anbefaler at, man i første omgang kontakter sin it-leverandør og forhører sig, om de har en løsning til kryptering. Der er med stor sandsynlighed andre af deres kunder, som står med samme udfordring.
Har man et Office 365 abonnement, kan man via dette (afhængig af abonnementstype) sende krypterede e-mails med kode via f.eks. SMS.
Sender man større mængder af e-mails med følsomme personoplysninger, kan man med fordel snakke med Docpoint, om integration til e-boks.
Gode råd og tips
Send altid e-mails med almindelige persondata og fortrolige data med TLS.
Lav altid en individuel risikovurdering før følsomme persondata sendes. Er TLS nok? eller skal de også end-to-end krypteres.
Lær medarbejderne om forskellen på de forskellige datatyper - og at bruge deres sunde fornuft før de sender e-mails.
Nyttige links
Datatilsynet om beskyttelse af persondata:
https://www.datatilsynet.dk/generelt-om-databeskyttelse/hvad-er-personoplysninger/
Datatilsynet om transmission af persondata via e-mail: https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/
Behov for hjælp? Vi hjælper med rådgivning, vejledning og undervisning i databeskyttelsesforordningen (GDPR) og IT-sikkerhed. Kontakt os for at høre nærmere om hvordan vi kan hjælpe din virksomhed.