Skærpede krav til email-kryptering

Datatilsynet skærper kravene til email-kryptering i den private sektor pr. 1. januar 2019, så fortrolige og følsomme oplysninger kun må sendes i krypteret form.

Det har været et krav til offentlige myndigheder (og en anbefaling til private) siden 2008 – men pr. 1. januar 2019 er det nu også krav til private virksomheder at transmissionen af mails, der indeholder fortrolige eller følsomme persondata, skal være krypteret.

 

To ting er vigtige her:
  • Kravet gælder ikke alle typer personoplysninger, men ”kun” mails med fortrolige eller følsomme personoplysninger – det er stadig tilladt at sende almindelige personoplysninger på samme måde som vi gør i dag.
  • Der er ikke krav om at selve mailen skal være krypteret, ”kun” at transmissionen skal være krypteret.

Hvad er kryptering så?

I forbindelse med kryptering af mails, findes der 2 forskellige niveauer:
  • Kryptering af forbindelsen, der foregår ved at mailserverene krypterer den forbindelse der er mellem dem. Det kaldes TLS (Transport Layer Security) og er den mest simple form for kryptering og kan implementeres, uden at du som bruger skal involveres.
    I dag har de fleste moderne mailsystemer TLS, og det er en forholdsvis enkel procedure at slå det til. Udfordringen ved TLS er dog at det er modtagerserveren der ”bestemmer” om forbindelsen skal krypteres, derfor kan afsenderen have svært ved at garantere krypteringen.
  • End-to-end kryptering – Her bliver selve mailen krypteret fra den sendes fra afsenders mailprogram til den åbnes på modtagerens mailprogram. Krypteringen kræver, at afsender og modtager har udvekslet krypteringsnøgler med hinanden. Løsningen er som udgangspunkt mere sikker end TLS, samtidig mere kompleks og dermed også sværere at implementere. Det kræver mere af brugerne, af systemerne og mere uddannelse.

Hvordan kategoriseres fortrolige persondata?

En personoplysning er enhver information der kan henføres til en bestemt person.
Databeskyttelsesforordningen opdeler personoplysninger i tre typer:
Der er de almindelige personoplysninger og de følsomme personoplysninger – og så har vi lige valgt at forvirre det hele lidt ved også at tilføje betegnelsen fortrolige personoplysninger.
 
De to første er de fleste af os bekendt med:
Almindelige personoplysninger
  • Navn
  • Adresse
  • Telefonnummer
  • Fødselsdato
  • Familie
  • Løn
  • Skat
  • Og lign.
Følsomme personoplysninger
  • Race
  • Politisk overbevisning
  • Religiøs overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Helbredsoplysninger
  • Seksuel orientering
  • Og lign.
Og så er der den der specielle særlige kategori med fortrolige oplysninger
Kategorien stemmer meget overens med kategorien semi-følsomme oplysninger i den gamle persondatalov (som nu er afløst af persondataforordningen).
Kategorien er ikke defineret i dataforordningen, men omfatter oplysninger der efter en almindelig opfattelse i samfundet (også kaldet sund fornuft) ikke bør komme andre til kendskab.
Fortrolige personoplysninger

Oplysningerne kunne være, men er ikke begrænset til:

  • CPR-nummer
  • Ansættelsesforhold
  • Indtægt og formue
  • Interne familieforhold, som eks. skilsmisse
  • Og lign.
Læg mærke til CPR-nummeret. Et CPR-nummer er en almindelig personoplysning men bliver nu kategoriseret som fortrolig.
Kilde: Datatilsynet
 

Hvad skal virksomhederne så gøre?

Det er, som med alt andet i forhold til Persondataforordningen, en afvejning i den enkelte virksomhed.
Så første skridt er at få afklaret om I allerede bruger kryptering, eks. TLS I jeres mailhåndtering, og hvilket niveau den er på.
Forhåbentlig har I styr på jeres GDPR-processer, så I ved om der behandles/sendes fortrolige eller følsomme oplysninger via email.
 
For rigtigt mange virksomheder vil det være tilstrækkeligt at benytte TLS kryptering.
Det kræver dog, at virksomheden har helt styr på interne processer og instrukser, så alle medarbejdere er klar over hvilke informationer der må sendes via almindelig mail. 
I de tilfælde hvor virksomheden sender følsomme data hvor der er højrisiko for de registrerede eller hvor der udveksles store mængder (mange) data – kan det være nødvendigt, at indføre end-to-end kryptering.
 
Hvordan gøres det så i praksis?
I skal i gang med at kryptere og sørge for at mails med følsomme og/eller fortrolige oplysninger bliver sendt i krypteret form.
Men før virksomheden farer ud i byen og bruger penge på en løsning til mail-kryptering, så stop lige op og undersøg om ikke I allerede har løsningen implementeret eller inden for kort rækkevidde.
 
Rigtigt mange bruger allerede Office365 fra Microsoft og der er mulighed for at “tvinge” TLS igennem på alle udgående mails i organisationen – Opsæt “Forced TLS” så sikrer Microsoft at mails ikke bliver sendt hvis modtageren ikke acceptere TLS på tilstrækkeligt højt niveau.
Office365 giver også muligheden for at benytte OME (Office365 Message encryption) som er Microsofts løsning til sikker mail. Det er ikke tilgængeligt i alle Office365-pakkerne, så I skal muligvis have jeres it-leverandør til at opgradere jer til den relevante løsning. Vær opmærksom på at “to-faktor-valideringen” sker via mail, så løsningen sikrer ikke identifikation af modtageren i tilfælde af at der sendes til en forkert mailadresse.
 
For brugere af Gmail er der også mulighed for at “tvinge” TLS igennem overfor modtageren – se vejledningen til opsætning af TLS på Gmail.
Hvis ikke I har sat forced TLS op for organisationen, så har Gmail en rigtig fin løsning hvor du har mulighed for at se om modtageren af din mail acceptere (eller gør det muligt) at levere mailen på en sikker måde.
Google har lavet en vejledning til Computer, Android og iPhone.
 
Ellers er det muligt at lave en gratis løsning med nemid til at kryptere og signere dine mails.
 
Der er også den lidt mere nørdede tilgang med brug af PGP til kryptering af mails med indhold der skal sikres. PGP er en meget udbredt løsning, men kræver lidt teknisk snilde at implementere.
 

Andre gode links: