[forminator_quiz id=”13200″]
Datatilsynet skærper krav fra 1/1-2019
Siden 2008 har Datatilsynet anbefalet at den private sektor anvender kryptering ved transmission af fortrolige og følsomme personoplysninger (i lighed med offentlige myndigheder siden år 2000).
Som følge af Databeskyttelsesforordningen (GDPR) og den teknologiske udvikling besluttede Datatilsynet i juli 2018 at ændre anbefalingen til et skærpet krav som Datatilsynet vil håndhæve fra 1/1-2019.
Følsomme og fortrolige personoplysninger
Følsomme oplysninger er:
- Helbredsoplysninger
- Fagforeningsmæssig tilhørsforhold
- Politisk, religiøs eller filosofisk overbevisning
- Racemæssig eller etnisk oprindelse
- Seksuelle orientering
- Genetiske data
- Biometriske data
Af fortrolige oplysninger kan fx nævnes CPR-nummer, strafbare forhold og passwords.
Risikovurdering (hver gang)
Datatilsynet henstiller til en risikobaseret tilgang til e-mails og anbefaler kryptering. Fordi ukrypteret e-mails kan medføre læk af personoplysninger til uvedkommende.
Men kryptering er ikke i sig selv et krav. Det der er et krav, er at data transmitteres fra et sted til et andet på en tilpas sikker måde i forhold til RISIKOVURDERINGEN.
Når Datatilsynet omtaler kryptering, er det fordi det bør være det, der er nemmest for virksomheder at implementere. Men man er frit stillet til at vælge andre metoder, så længe sikkerheden omkring transmissionen er på plads!
Man kan altså godt lade være med at opsætte TLS og lignende sikkerhed i transmissionen, hvis man til gengæld altid krypterer og/eller passwordbeskytter selve dokumentet man sender i mailen!
Datatilsynets skærpet krav omfatter kun de fortrolige og følsomme personoplysninger. Almindelige e-mails uden sådanne oplysninger kan stadig sendes på normal vis.
2 metoder til kryptering
- Transport Layer Security (TLS) anvendes under transporten i åbne netværk – fra afsenderens maskine til modtagerens mailserver. Datatilsynet betragter kryptering på transportlaget som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.
- End-To-End kryptering er en mere sikker foranstaltning, hvor både afsender og modtager har et nøglepar hver bestående af en offentlig nøgle og privat nøgle. Afsenderen anvender modtagerens offentlige nøgle til at kryptere indholdet af e-mailen, før den sendes. Modtageren anvender sin egen private nøgle til at dekryptere e-mailens indhold efter modtagelse. Indholdet af e-mailen er på denne måde krypteret hele vejen – fra afsenderens e-mail klient til modtagerens e-mail klient.
Anvendelse af NEMID er eksempel på End-to-End-kryptering.
Når du SENDER krypteret e-mails
ALLE fortrolige e-mails til WEBstationen (fx passwords) skal sendes til denne mail-adresse:
Når du MODTAGER krypteret e-mails
Når vi fremover sender e-mails til dig med fortrolige oplysninger fra WEBstationen (fx passwords), så sker det fra e-mailadressen:
Men hvorfor lige PROTONMAIL som krypteringsløsning?
- End-To-End kryptering (beskeder både gemmes og transmitteres i krypteret format)
- E-mail indhold kan kun læses ved brug af password
- Emails selvdestueres efter valgt tidsrum
- Sikker kommunikation med andre mail-udbydere fx Outlook, Mac mail og Gmail
- Data opbevares på servere, placeret 1000 meter under bjerge i Schweiz, og siges at kunne modstå atomangreb
- Ingen data deles med tredjepart
- Protonmail kan ikke dekryptere e-mails og læse dem
- Protonmail er underlagt Schweizisk lovgivning og står udenfor både US lovgivning og EU lovgivning
- Man forbliver anonym
- Brugervenlig løsning med enten gratis eller betalt abonnement
Du kan se mere her: … https://protonmail.com/
Ønsker du support til PROTONMAIL?
Vi hjælper dig gerne med oprettelse af konto hos ProtonMail (free plan). Inklusiv opsætning og test samt undervisning i hvordan du sender krypteret e-mails.
Ingen support til NEMID metoden
Vi tilbyder desværre ikke support til NEMID metoden. Det er ofte problematisk og tidskrævende at få etableret selve infrastrukturen omkring generering og udveksling af de kommunikerende parters offentlige nøgler og den nødvendige opsætning i mailsystemer. Og det har vi desværre ikke ressourcer nok til.
Vil du vide mere om GDPR, sikkerhed og drøftelse af mulige løsninger, kan jeg anbefale at følge med i Facebook-gruppen: Den nye Persondataforordning GDPR.