Pr. 1. januar 2019 skal alle kryptere e-mails, der indeholder fortrolige eller følsomme personoplysninger. Datatilsynet præciserer nu i en ny vejledning, at det ud fra en risikovurdering er nødvendigt at tage stilling til, om der kun skal foretages kryptering på transportlaget, eller om den mere sikre end-to-end-kryptering er nødvendig.

Datatilsynet offentliggjorde den 23. juli 2018 en udtalelse om skærpet praksis vedrørende kryptereret e-mail. Heri fremgår det, at både offentlige og private aktører skal anvende kryptering ved transmission af fortrolige eller følsomme personoplysninger via e-mail, og at denne praksisændring for så vidt angår den private sektor vil blive håndhævet pr. 1. januar 2019. Se udtalelsen her: Skærpet praksis ift. krypteret e-mail. Tilsynet har nu udarbejdet en tekst, der konkretiserer skærpelsen rent teknisk.

Forebyggelse af persondatalæk med kryptering af e-mails

Nogle af de persondataretlige risici forbundet med e-mails er, at de ved en fejl fremsendes til de forkerte modtagere og læses af uvedkommende, eller at ikke-krypterede e-mails bliver kompromitteret under transporten, dvs. opsnappet af uvedkommende, som ønsker at få adgang til disse mails. Begge risici vil potentielt kunne indebære læk af større mængder af personoplysninger.

Kryptering af e-mails er en sikkerhedsforanstaltning – og udslag af kravet i databeskyttelsesforordningen om, at man som dataansvarlig og databehandler skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ved behandling af personoplysninger. Der findes imidlertid forskellige tilgange til kryptering.

Fastlæggelsen af, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er passende, beror særligt på en vurdering af de risici, som behandlingen af personoplysninger vil have for den registrerede. Man ser på to faktorer:

1. Vurdering af, om en e-mail indeholder fortrolige eller følsomme personoplysninger

Kravet om kryptering af e-mails gælder for e-mails, der indeholder fortrolige eller følsomme personoplysninger.

Følsomme personoplysninger er udtømmende oplistet i databeskyttelsesforordningens artikel 9, hvorimod fortrolige personoplysninger ikke er defineret eller oplistet i databeskyttelsesforordningen. Det er derfor ikke lige så klart, hvornår en oplysning er fortrolig og derfor skal krypteres ved transmission.

Eksempler på fortrolige oplysninger er CPR-numre, følsomme personoplysninger og i visse situationer ikke-følsomme personoplysninger, som efter omstændighederne kan være fortrolige, herunder f.eks. oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold.

For at vurdere, om en oplysning er fortrolig, har Datatilsynet i øvrigt udtalt, at det vil være nødvendigt at foretage en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27.

2. Vurdering af, hvilken type kryptering der bør anvendes

I vejledningen på hjemmesiden om Transmission af personoplysninger via e-mail skelner Datatilsynet mellem to tilgange til kryptering: kryptering på transportlaget og end-to-end-kryptering.

Valg af tilgang til kryptering beror på en vurdering af de risici, som behandlingen af personoplysninger vil have for den registrerede.

Det er Datatilsynets opfattelse, at der både kan være tale om typer af behandlinger, hvor kryptering på transportlaget vil være passende, og typer af behandlinger, hvor en høj risiko for den registrerede medfører, at den mere sikre end-to-end-kryptering vil være passende (f.eks. ved udsendelse af helbredsoplysninger om et stort antal registrerede).

End-to-end-kryptering kræver udveksling af nøgler mellem parterne. I vejledningen nævner Datatilsynet blandt andet NemId som et eksempel på en løsning, der kan anvendes til at opnå end-to-end-kryptering.

Derudover indeholder vejledningen et afsnit om ansvar for kryptering. Her fremgår det, at det er den dataansvarlige, der har ansvaret for den sikre fremsendelse til modtagerens mailserver, når en e-mail afsendes fra den dataansvarlige.

Se Datatilsynets nyhed om teknisk konkretisering ift. kryptering her: Teknisk konkretisering ift. kryptering af e-mail.