Datatilsynet kræver kryptering af e-mails

Siden 2008 har Datatilsynet alene anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Dette ændres pr. 1. januar 2019.

Datatilsynet vurderer, at det ikke vil være muligt at leve op til databeskyttelsesforordningens krav om, at der skal tages passende sikkerhedsforanstaltninger ved behandling af personoplysninger, såfremt fortrolige og følsomme personoplysninger sendes ikke-krypteret via e-mail.

Hvilke typer af personoplysninger er fortrolige og følsomme?
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.

Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. Oplysninger, der kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter. Det gælder f.eks. oplysninger af rent objektiv karakter, såsom oplysninger om udstedelse af pas, kørekort, jagttegn osv.

Følsomme personoplysninger, der skal krypteres er iht. databeskyttelsesforordningens artikel 9 samt databeskyttelsesloven følgende:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering.
• CPR-nummer

Hvilken form for kryptering skal anvendes?
Datatilsynet har ikke på nuværende tidspunkt offentliggjort, hvilke former for kryptering, de mener, opfylder kravene til passende sikkerforanstaltninger. IT-sikkerhedsekspert hos Datatilsynet, Allan Frank, oplyser dog i en Version2-artikel omhandlende minimumskravet til kryptering af e-mails, at alle virksomheder i Danmark minimum skal have TLS-kryptering (minimum TLS 1.2) samt sikre, at TLS 1.2 anvendes under hele transmissionen fra afsendelse til modtagelse.