Nyt krav om kryptering af mails

I forlængelse af den nye persondataforordning kræver Datatilsynet fra 2019 kryptering, når der sendes e-mails med følsomme oplysninger.

Datatilsynet vurderer, at du skal sende fortrolige og følsomme personoplysninger via krypteret mails, for at leve op til databeskyttelsesforordningens krav. Et krav, der siger, at der skal tages passende sikkerhedsforanstaltninger ved behandling af personoplysninger.

Nedenstående kategorier, defineret og udarbejdet af Dansk Erhverv, beskriver hvilke typer af personoplysninger, der er fortrolige og følsomme:

  • Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.
  • Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. Oplysninger, der kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter. Det gælder f.eks. oplysninger af rent objektiv karakter, såsom oplysninger om udstedelse af pas, kørekort, jagttegn osv.
  • Følsomme personoplysninger, der skal krypteres (iht. databeskyttelsesforordningens artikel 9 samt databeskyttelsesloven):
    - Race og etnisk oprindelse
    - Politisk overbevisning
    - Religiøs eller filosofisk overbevisning
    - Fagforeningsmæssige tilhørsforhold
    - Genetiske data
    - Biometriske data med henblik på entydig identifikation
    - Helbredsoplysninger
    - Seksuelle forhold eller seksuel orientering.
    - CPR-nummer

Hvilken form for kryptering skal anvendes?
Datatilsynet har ikke på nuværende tidspunkt offentliggjort, hvilke former for kryptering, de mener, opfylder kravene til passende sikkerforanstaltninger. Datatilsynet oplyser dog i en Version2-artikel omhandlende minimumskravet til kryptering af e-mails, at alle virksomheder i Danmark minimum skal have TLS-kryptering (minimum TLS 1.2) samt sikre, at TLS 1.2 anvendes under hele transmissionen fra afsendelse til modtagelse.

Du kan få yderligere information om kravet fra Datatilsynet her.
Har du spørgsmål til ovenstående, er du velkommen til at kontakte DRC på tlf.: 33 25 10 11.