Sender du følsomme eller fortrolige personoplysninger via e-mail? Så skal e-mailen krypteres senest 1. januar 2019.

Virksomheder skal have passende sikkerhedsforanstaltninger for at sende personoplysninger via e-mail. Jo mere følsomme personoplysninger, jo stærkere sikkerhed kræves der. Virksomheden skal vurdere, hvor stor skade det kan forvolde den registrerede, hvis hans eller hendes oplysninger havner i de forkerte hænder og lade det være afgørende for, hvor sikker en løsning der vælges.

Ved valg af krypteringsniveau er der to forskellige måder at kryptere e-mails på:
1. Kryptering af dataforsendelsen, også kaldet transportlaget.
2. Kryptering af selve e-mailen, også kaldet end-to-end kryptering. End-to-end kryptering er mest sikker og også mest besværlig at administrere.

I den nye vejledning kommer Datatilsynet med dette eksempel på, hvor tilsynet finder, at end-to-end kryptering vil være passende: Et forsikringsselskab skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve. Dvs. meget følsomme oplysninger om et stort antal personer.
Hvis mindre følsomme personoplysninger sendes til en enkelt modtager, måske den registrerede selv, så vil kryptering i transportlaget typisk være nok.
I den nye vejledning indiker Datatilsynet, at den mest enkle kryptering af e-mails i mange tilfælde er tilstrækkelig, når man sender personoplysninger via e-mail.

Om kryptering af e-mails
Kryptering af transportlaget i praksis styres af regler eller protokoller. De mest udbredte transportører af e-mails anvender automatisk TLS (Transport Layer Security), det gælder bl.a. Google (G-mail) og Microsoft (Outlook). Du behøver altså ikke at huske at aktivere eller slå funktionen til. Ved end-to-end kryptering, så tilbyder de store transportører normalt også løsninger til det, men de fungerer forskelligt og skal tilkøbes.

Jeg vil foreslå, at I henvender jer til jeres sædvanlige IT-leverandør for at få oplyst graden af kryptering på jeres nuværende løsning samt for at drøfte, om der er behov for en ændring. Hvordan gøres det i praksis, og hvornår er det påkrævet. Har I ikke en IT-leverandør, der kan hjælpe her, kan jeg anbefale Nocable v/Robert Wolf, tlf. 2237 5474, info@nocable.dk