Kryptering af mails. Bliv klogere på om dine mails skal krypteres

Der er meget snak om, hvad virksomheder konkret skal – og kan – gøre for at imødekomme Datatilsynets krav til kryptering af mail-kommunikation. Og vi medgiver det med det samme; det ér en jungle af regler og meninger. Så måske er du (også) i tvivl om, hvorvidt dit nyhedsbrev skal krypteres. Bliv klogere her og få eksempler på, hvordan og hvornår du skal kryptere dine mails.

Hvad skal du gøre ved forskellige typer af mails?

• Personlige e-mails med personlige informationer: Bør have TLS aktiveret i din ende og i modtagerens ende.
• Nyhedsbreve, der ikke indeholder fortrolige eller følsomme oplysninger: Man bør forsøge at aflevere med TLS, men kun hvis det er muligt.
• Nyhedsbreve, hvor f.eks. modtagelse er udtryk for tilknytning til fagforening, religiøst tilhørsforhold, seksuel orientering, sygdomsforhold, eller andre følsomme oplysninger: Skal altid sendes med TLS. Afhængig af risikovurderingen kan der være brug for yderligere sikkerhedsforanstaltninger.
• Transaktionsmails, som indeholder passwords eller andre fortrolige oplysninger: Bør kun sendes ved brug TLS.

Risikovurdering

I hvert enkelt tilfælde er der tale om, at virksomheden skal foretage en risikovurdering og handle ud fra denne. Det betyder i praksis, at medarbejdere skal vurdere i hvilken grad et eventuelt læk af de persondata, der formidles digitalt, bl.a. hvor mange berørte, der er tale om, og hvilke skader et læk vil påføre de berørte – og om hvor sikkerhedsforanstaltningerne vurderes at være tilstrækkelige.

Se her hvordan datatilsynet beskriver, hvad en risikovurdering er.

Hvornår er det personfølsomt?

I 2018 havde Peytz Mail, og en lang række fagforeninger, besøg af IT-advokaten Mandeep Singh Rathour fra BACH advokater, som fortalte om nyhedsbreve og personfølsomme data.

Han havde klare svar på de mest påtrængende spørgsmål om persondata:

• Er en mailadresse en personoplysning? JA
• Er der tale om behandling af følsomme oplysninger, når et nyhedsbrev sendes fra et fagforbund til et medlems mailadresse? JA
• Bliver nyhedsbrevet mere følsomt eller “ulovligt”, hvis det inkluderer navnet på medlemmet? NEJ

Det indebærer i al enkelthed, at man som fagforening altid bør sikre de mails, der sendes til modtagere, fordi de er medlem af en fagforening.

Datatilsynet understreger i deres retningslinjer vigtigheden af TLS i forbindelse med personfølsomme data:

“Afsenderens mailserver bør derfor opsættes således, at der gennemtvinges TLS ved fremsendelse af e-mails, der indeholder fortrolige eller følsomme oplysninger, og at e-mailen ligeledes ikke afsendes, medmindre en TLS forbindelse kan garanteres!”

Bare lige for en god ordens skyld: Peytz Mail sender som default altid mails med TLS. Dette betyder, at hvis modtageren også anvender TLS er transmissionen af mailen krypteret og dermed sikret mod, at andre læse denne. Peytz Mail kan også sikre, at dine mails kun bliver sendt, hvis transmissionen skal foregå sikkert med TLS.

Det skriver Datatilsynet om kryptering

“Det er, ...til enhver tid den dataansvarlige, der – med udgangspunkt i sin risikovurdering – skal vurdere, hvilket sikkerhedsniveau der er passende."

Der vil efter Datatilsynets opfattelse være typer af behandling, hvor kryptering på transportlaget (altså mailen, red.) er passende. Det er desuden tilsynets opfattelse, at kryptering på transportlaget bør betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.

Ligeledes vil der være typer af behandling, hvor den mere sikre end-to-end kryptering vil være passende, idet der er en høj risiko for de registrerede. Dette kunne fx være tilfældet, hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve.”
Citat fra: Transmission af personoplysninger via e-mail

Læs også: Hvad siger datatilsynet om kryptering

Den artikel er oprindeligt publiceret i 2018.