PrivatErhverv
Jylland
Sjælland
Bornholm

Nye krav om kryptering af e-mails med personoplysninger

Fra 1. januar 2019 skal alle private virksomheder kryptere e-mails, der indeholder fortrolige og følsomme personoplysninger. Det oplyser Datatilsynet, der skærper sin praksis i kølvandet på Persondataforordningen.

Når din virksomhed behandler følsomme personoplysninger, har du en forpligtelse til at passe godt på dem. Det er slår databeskyttelsesforordningen fast – og senest fra årsskiftet skal din virksomhed også anvende kryptering, når I sender fortrolige og følsomme personoplysninger pr. e-mail.

”Ifølge Datatilsynet vil kryptering via ”sikker mail” være en passende sikkerhedsforanstaltning for både offentlige og private aktører. Offentlige myndigheder har siden år 2000 skullet anvende kryptering af e-mails, og ellers har kravet kun været gældende for eksempelvis advokatvirksomheder og banker. Men nu bliver det snart et krav for alle,” fortæller advokatfuldmægtig og persondataspecialist Indira Beckovic fra Advodan Tønder.

 

Afdæk jeres behov

”Når man bruger e-mails som kommunikationsform, indebærer det en øget risiko for, at oplysningerne, bliver sendt til de forkerte på grund af en fejl, eller at ens mailsystem bliver hacket. Ved at bruge kryptering imødekommer man databeskyttelsesforordningens ”risikobaserede tilgang til behandlingssikkerheden,” forklarer Indira Beckovic og fortsætter:

”Jeg anbefaler, at alle virksomheder bruger de kommende måneder til at afdække, om man har et behov for en sikker mail-løsning eller ej.”

Overholder man ikke reglerne om krypterede e-mails, risikerer man en bøde fra Datatilsynet.

 

Eksempler på følsomme og fortrolige oplysninger:

Personoplysninger deles op i flere forskellige kategorier. Oplysninger, som går under kategorien følsomme oplysninger, er fx helbredsoplysninger, race og etnisk oprindelse og politisk overbevisning. Fortrolige oplysninger er ikke en selvstændig kategori af oplysninger i databeskyttelsesloven, men oplysninger, som hører under fortrolige oplysninger, er fx tavshedsbelagte oplysninger, privatøkonomi og karakterblade. Derudover er CPR-nr. også en fortrolig oplysning, som kun må sendes krypteret.

 

Hvad er sikker mail?

En sikker e-mail er en e-mail, som er signeret eller krypteret af afsenderen. Signering er en digital underskrift, der sikrer, at indholdet i meddelelsen ikke er ændret, efter at den er afsendt, samt sikrer afsenderens identitet. Kryptering sikrer, at en meddelelse kun kan læses af den rette modtager. Kilde: Erhvervsstyrelsen

Indsender formularen...

Vi kan rådgive dig om persondataforordningen.

17 kommentarer

Kirsten

Må man som formand for en boligforening sende mail ud til beboerne hvor man kan se alle modtagers mail adresser på , samt nogle få mobil nr. På På alle modtagerne der er på mail listen

Terji

Hej Der findes stadig hjemmesider, der tilsender dig dit password i klartekst over mail, hvis du har glemt det, eller i bekræftelsesmailen ved oprettelse af en konto. Er dette dog lovligt? Eller foreligger der noget et krav om én-vejs kryptering (hvor . Facebook/Google/osv. slet ikke kender dit password, men kun giver dig mulighed for at nulstille det, når du har glemt det)? Jeg klager højlydt, når det sker, og holder mig langt væk fra de hjemmesider, der sender password i klartekst, hvilket jeg anbefaler alle at gøre.

Karsten

Hej Terji Der er ikke nogen specifikke regler om, hvordan online-tjenester skal sende passwords til brugere, der beder om det, men det er klart, at der er mere eller mindre sikre måder at gøre det på. Fremsendelse af det eksisterende password i klar tekst i en mail er den mindst sikre - særligt hvis mailen ikke er krypteret. En bedre løsning er at sende et nyt, maskingenereret password, som skal ændres ved første login, men også dette er forbundet med usikkerhed, da mailkontoen kan være hacket også. Den bedste løsning er et link, hvor brugeren selv kan ændre adgangkode (med forbud mod at genbruge koder), men skal det også være helt sikkert, bør der være 2-faktor validering, f.eks. med Nem-ID eller en kode modtaget på SMS. Nu er der ikke noget "one size fits all", da GDPR foreskriver en risikobaseret tilgang, så hvilken sikkerhedsløsning, udbyderen vælger, bør afspejle den risiko, der er forbundet med kompromittering af brugerens data. Udbyderen skal lave en skriftlig risikovurdering, hvor man har forholdt sig til risici for brugerne i forbindelse med valg af løsning. Er der ikke lavet en sådan risikovurdering, vil det normal - som minimum - udløse alvorlig kritik fra Datatilsynet.

Terji

Hej Karsten Tak for det hurtige svar. Det, jeg hører dig sige, er, at det ikke er decideret ulovligt at fremsende et password på den måde, men at det vil være en situationsbestemt vurdering, afhængigt af virksomhedens natur og dens skriftlige risikovurdering (eller mangel på samme). - Er dette rigtigt forstået? I min optik bør det ikke engang være nødvendigt med en vurdering - hvis en virksomhed ligger inde med ukrypterede brugernavne og passwords, kan en hacker jo få adgang til samtlige af ens konti, da rigtig mange mennesker (desværre) genbruger det samme password over det hele. Jeg har klaget til Datatilsynet over virksomheden af selvsamme årsag - tror du, at der er sandsynlighed for at få medhold i den klage, eller hvordan?

Karsten

Hej Terji Ja, det er situationsbestemt. Den risikobaserede tilgang er en hjørnesten i GDPRs betsemmelse om behandlingssikkerhed. Derfor er skriftlige risikovurderinger så vigtige. Du må meget gerne orientere mig om udfaldet af sagen.

Terji

Jeg skal nok give et svar herinde, når klagen engang bliver behandlet (jeg er dog usikker, om jeg overhovedet får en tilbagemelding om udfaldet af klagen).

Michael Bang

Hej, Vi har en B2B webshop, hvor vores kunder har en bruger, og et login til denne. Er det lovligt at visse personer, i vores salgsteam, kan se kodeordet vores kunder har til webshoppen i klartekst?

Karsten Holt

Hej Michael Kodeord til online-tjenester er fortrolige oplysninger, som ikke bør ligge tilgængelige i klar tekst, men skal være krypterede (hashed). Uanset at kunderne er erhvervsdrivende, er den enkelte bruger en fysisk person som er omfattet af persondatareglerne. Dine sælgere har næppe noget legitimt behov for at kende kunders passwords.

Anne

Må et firma bede om billede af kørekort og sygesikring fra en normal mail til deres sikkermail? Som jeg forstår det, er det afsenderens mail der skal være sikker og ikke modtagers. Må de gerne sige til deres kunder at det er sikkert, hvis det ikke er det?

Karsten Holt

Hej Anne Der findes mange krypteringsløsninger, men kryptering med certifikat (end-to-end kryptering) stiller krav til både afsenders og modtagers mailopsætning. Det gælder også flere andre krypteringsløsninger. Langt de fleste mails, der sendes, er transportkrypterede (TLS-kryptering), uden at man skal gøre noget særligt for det. At man siger, at man har en sikker mailadresse, der kan sendes til, er blot udtryk for, at modtageren kan modtage krypterede mails, det siger ikke noget om krypteringsniveauet på den enkelte mail, da det også afhænger af afsender. Man er som udgangspunkt selv ansvarlig på sikkerheden på de mails, man selv sender. Dog hører det til god kundeservice, at professionelle aktører, som ofte har brug for at modtage ID eller andre fortrolige oplysninger (f.eks. banker, advokater, revisorer og ejendomsmæglere), kan anvise en metode til sikker fremsendelse. Det kan være en særlig mail-løsning, en mulighed for at uploade til en sikker hjemmeside eller lignende. Vil du ikke sende en alm. mail - der oftest vil være TLS-krypteret - og kan du ikke selv sende med certifikat, bør du bede den pågældende modtager om at anvise en anden metode.

Jesper

Hej Jeg har forsøgt at søge i diverse lovtektster, om man må man bede virksomhedens ansatte i at fremvise en straffeattest løbende - fx hvert år? I følge Datatilsynet så skal dette være frivilligt, og reelt et udtryk for den ansattes valg? Vil dette dermed også betyde, at man ikke kan foretage sig noget, såfremt den ansatte modsiger sig dette? Og hvis straffeattest ikke er ren - er man så uden mulighed for at ændre i medarbejderens ansættelsesforhold? På forhånd mange tak for hjælpen!

T

En forening skal indhente børneattester. Foreningen beder om at cpr nr sendes til dem pr mail. Går den?

Karsten Holt

Hej T Datatilsynet har udtalt, at en straffeattest, der IKKE indeholder oplysninger om strafbareforhold, ikke kan anses som følsomme personoplysninger. Men da straffeattesten indeholder cpr-nummer, som anses som en fortrolig oplysning, skal der ved fremsendelse på e-mail ske kryptering. Da mange privatpersoner har vanskeligt ved at sende mails med kryptering, anbefaler jeg, at foreninger, der regelmæssigt skal modtage børneattester, stiller en upload-mulighed til rådighed på en sikker hjemmeside. Et alternativ kan være at sende den "rene" straffeattest/børneattest pr. e-mail, hvor de sidste 4 cifre i cpr-nummeret er fjernet.

T

Er det ulovligt at sende en lønseddel over mail? Der står jo crp-nr på samt Information om løn.

Karsten Holt

Det er ikke ulovligt at benytte mails til at sende lønsedler, men da de indeholder cpr-nummer, som er en fortrolig oplysning, skal mailen krypteres. Det kan efter omstændighederne blot være TLS-kryptering, som mange mailprogrammer kan sættes på til at gøre automatisk uden handling fra brugeren, men ved mere systematisk udsendelse af lønsedler vil en ekstra beskyttelse anbefales. Det kan f.eks. være, at man sender lønsedlerne som en pdf-fil, der adgangskodebeskyttes, så medarbejderen skal taste en personlig kode for at kunne åbne dokumentet. Det kan klares i de fleste pdf-applikationer.

Simon

I forbindelse med hus køb har både ejendomsmægler og min bank bedt mig sende kopi af pas, kørekort og sundhedskort på mail (altså ukrypteret) Banken har ligeledes bedt mig sende min mands årsopgørelse via mail. Som jeg forstår det har de pligt til at kyptere personfølsomme oplysninger de selv håndterer, men må de så bede mig om at jeg sender mine oplysninger ukrypteret? Simon

Karsten Holt

Hej Simon Du skal bare bede dem om at henvise til en måde at sende legitimationen sikkert. Det skal de kunne tilbyde som professionelle aktører. Det vil oftest være en sikker hjemmeside (https://), hvor du kan uploade legitimationen. For min egen banks vedkommende er der en funktion hertil i netbanken. Venlig hilsen Karsten

Ann-Dorthe

Hej Er der forskel på hvilke firma, der sender faktura? Hvis fakturaen vedører terapi og det står på den, samt navnet på den som har købt ydelsen. Skal fakturaen så sendes krypteret? På protonmail står der man sender fra sikker mail er det nok, hvis man skal sende et svar til en kunde om en behandling eller skal det være krypteret. Med venlig hilsen Ann-Dorthe

Indira Beckovic

Kære Ann-Dorthe, Tak for dit spørgsmål. Der kan godt være forskel. Hvis der fremgår af fakturaen, at der er tale om noget terapi, vil det kunne udgøre en helbredsoplysning. Så er oplysningen følsom, og mailen skal krypteres. Sikker mail er ikke altid ensbetydende med, at mailen sendes krypteret. Hvis du driver en klinik, hvor I yder terapi, vil der højst sandsynligt være tale om behandling af følsomme og fortrolige oplysninger, hvorfor I skal have krypteret mail. Med venlig hilsen, Indira Beckovic

Søren

Hej Indira, Skal et dokument indeholdende person- eller personfølsomme oplysninger, både sendes via 1.krypteret mail og 2. dokumentkode til at åbne selve dokumentet? Eller er det nok at gøre nr. 1 eller nr 2? Eksempel: Hvis en faktura indeholder navn samt firmaemail på den kontaktperson, som skal modtage fakturaen, er det så afsendelse af personolysninger? Hvis fakturaen yderligere indeholder et navn, på en ansat person og dennes titel, er der så forskel på hvordan det må sendes? eller er det kun hvis f.eks. et cpr. nummer tilknyttes? På forhånd tak Søren

Indira Beckovic

Køre Søren, Tak for dit spørgsmål. For virksomheder/foreninger/myndigheder gælder det, at mails indeholdende fortrolige eller følsomme personoplysninger skal sendes med krypteret mails. Datatilsynet stiller krav om minimum 1.2 TLS-kryptering. Vedrørende dit eksempel. Ja, navn og personlig firma-e-mail er også personoplysninger. Som udgangspunkt er en faktura indeholdende navn og adresse, evt. titel, hverken følsom eller fortrolig. Der kan dog være undtagelser afhængigt af, hvad fakturaen vedrører. Jeg vil anbefale, at du altid sender krypterede e-mails - uanset indholdet. På en måde vil du altid være på den sikre side. Med venlig hilsen, Indira Beckovic

Søren

Kære Indira, Mange tak for dit svar. Jeg har et mindre tillægsspørgsmål. Nu da en faktura ikke er personfølsom. Er en kontrakt der indeholder navn på virksomhed samt en titel og et navn på en direktør eller anden person, der underskriver dokumentet, så heller ikke et personfølsomt dokument? Hvis en email adresse er tilknyttet ovennævnte kontrakt, ændrer det så ved dokumentet status, således at det bliver personfølsomt? På forhånd tak. Søren

Indira Beckovic

Kære Søren, Et navn på en person er som udgangspunkt hverken følsomt eller fortroligt. Undtagelsen vil dog være, hvis vedkommende f.eks. har navnebeskyttelse. Det kommer helt an på, hvilken type kontrakt, der er tale om. Hvis det er, som jeg formoder ud fra det du beskriver, en kontrakt, som vedrører virksomhedens forhold og ikke en persons forhold, vil kontrakten ikke være følsom eller fortrolig i databeskyttelseslovens forstand. Dog kan den være et fortroligt virksomhedsdokument (det er så til gengæld noget helt andet, men jeg vil nævne det alligevel). En e-mailadresse i kontrakten, hvis eksemplet er det samme som ovenfor, vil som udgangspunkt heller ikke gøre kontrakten følsom eller fortrolig i databeskyttelseslovens forstand. Med venlig hilsen, Indira Beckovic

Gitte Ellevang

Hej Jeg har et spørgsmål. Vi skal sende en mail ud til flere elever med nogle gratis fodboldbilletter, hvordan forholder man sig her? eleverne vil jo kunne se de andre email adresser, er det lovligt Mvh gitte Larsen

Indira Beckovic

Kære Gitte, Tak for dit spørgsmål. Man skal altid passe på med at sende til flere modtagere på én gang, eller til modtagere cc. Jeg vil anbefale, at I indhenter samtykke fra alle elever om, at deres mail-adresser må videregives til de andre elever. Med venlig hilsen, Indira Beckovic

A. Jensen

På min hjemmeside har jeg en kontaktformular som nye kunder anvender til at kontakte mig og bestille tid til terapeutisk konsultation om personlige problemer. Formularen sendes ofte indeholdende personfølsomme oplysninger som klienten selv skriver ind efter eget valg og sender afsted fra hjemmesiden. Formularen går fra min hjemmesides kontaktformular til min proton-mailboks. Er det et krav at selve formularen er krypteret ? Eller er det nok at mit svar tilbage til klienten krypteres? Mvh A. Jensen

Indira Beckovic

Hej A. Jensen, Tak for dit spørgsmål. Det har længe været et krav fra Datatilsynets side, at hjemmesider, hvorpå der sker overførsel af følsomme og fortrolige oplysninger, ligeledes skal være krypteret. Hvis du derfor ikke har truffet nogen foranstaltninger, for at dette krav opfyldes på din hjemmeside, vil jeg råde dig til at får det ordnet hurtigst muligt. Der skal således ske kryptering både den ene og den anden vej. Med venlig hilsen, Indira Beckovic

L. Olsen

Må man sende en kopi af en dødsattest uden at kryptere? Tænker ikke, at et cpr.nr. på en afdød person kan misbruges til noget?

Indira Beckovic

Hej L. Olsen, Tak for dit spørgsmål. Det følger af Databeskyttelseslovens § 2, stk. 5, at loven også finder anvendelse på oplysninger om afdøde personer indtil 10 år efter vedkommendes død. Det betyder, at man skal værne ligeså meget om oplysninger om afdøde personer, hvorfor du også er nødt til at sende mails indeholdende følsomme og fortrolige oplysninger om en afdød person, herunder en dødsattest, krypteret. Med venlig hilsen, Indira Beckovic

Lea Mikkelsen

Vi beder om at se kommende medarbejderes straffeattest. Den sender de ofte på mail, og herpå står deres CPR-nummer. Dvs. vi sender ikke CPR.nr. på mail men vi modtager dem på mail. Skal vi ændre denne procedure i lyset af de nye krav fra Datatilsynet?

Indira Beckovic

Hej Lea, Tak for dit spørgsmål. I den beskrevne situation sker der både behandling af cpr.nr. og straffeattest. Kernen heri er at beskytte oplysningerne, når de bliver sendt fra medarbejderen til jer. Jeg mener, at der er to mulige løsninger, som I kan benytte jer af. Den ene løsning kunne være, at I søger om at indhente vedkommende medarbejders straffeattest, i stedet for at jeres medarbejdere selv sender den frem. På denne måde bliver straffeattesten sendt sikkert fra myndighederne. Den anden løsning kunne være, at I opfordrer jeres medarbejder til at sende deres straffeattest med sikker mail, f.eks. pr. krypteret mail. Der er nok ikke så mange privatpersoner, der har denne form for e-mail endnu, men det kan de sagtens få, og jeg mener, at I bør opfordre dem til at sende følsomme oplysninger sikkert. Herefter er det medarbejderens eget valg, om de vil følge anbefalingen. Jeg håber, at dette besvarer dit spørgsmål. Ellers er du velkommen til at kontakte mig på ibec@advodan.dk eller 73 92 17 23. Med venlig hilsen, Indira Beckovic

J. Skaarup

Skal begge kategorier krypteres (både "særligt følsomme oplysninger" og "almindelige fortrolige oplysninger "?

Indira Beckovic

Hej J. Skaarup, Korrekt - begge typer af oplysninger skal sendes krypteret, når de sendes over e-mail. Med venlig hilsen, Indira Beckovic

jørgen jensen

jeg har nogle lejre som jeg sender faktura til hver måned pr. mail. i fakturaen står modtagers navn, adressen som lejemålet omfatter, samt fakturabeløbet. samt det konto nr. som der skal indbetales på. skal en sådan faktura krypteres. mvh

Indira Beckovic

Hej Jørgen Jensen, Tak for dit spørgsmål. Hvis der på den faktura du sender alene fremgår navn og adresse, mener jeg, at det ikke er yderst nødvendigt at sende fakturaen krypteret. Det ville være noget andet, hvis der ligeledes fremgik et cpr-nr af fakturaen. Der skulle komme mere om emnet fra Datatilsynet senere på året, så hold øje. Med venlig hilsen, Indira Beckovic