Skal, skal ikke! De fleste er i tvivl om, hvorvidt deres nyhedsbrev skal krypteres – og måske især hvorfor og hvordan. Fortvivl ikke, men læs Mortens gode krytperingsråd.

Der er i øjeblikket rigtigt megen snak om, hvad man konkret skal – og kan – gøre for at imødekomme Datatilsynets krav til kryptering af mail-kommunikation.

TLS = Transport Layer Security

TLS er en protokol, der sikrer digital kommunikation ved at kryptere selve transmissionen af den sendte mail. For at anvende TLS kræver det, at både afsender og modtager bruger TLS. TLS er afløseren for SSL (Secure Socket Layer).

Og vi medgiver det med det samme; det ér en jungle af regler og meninger. Derfor har vi forsøgt at give nogle eksempler på, hvordan og hvornår man kan kryptere sine mails.

Læs forøvrigt også: Hvad siger datatilsynet om kryptering

Hvad skal man gøre ved forskellige typer af mails?

  • Personlige e-mails med personlige informationer: Bør have TLS aktiveret i din ende og i modtagerens ende
  • Nyhedsbreve, der ikke indeholder fortrolige eller følsomme oplysninger: Man bør forsøge at aflevere med TLS, men kun hvis det er muligt
  • Nyhedsbreve, hvor f.eks. modtagelse er udtryk for tilknytning til fagforening, religiøst tilhørsforhold, seksuel orientering, sygdomsforhold, eller andre følsomme oplysninger: Skal altid sendes med TLS. Afhængig af risikovurderingen kan der være brug for yderligere sikkerhedsforanstaltninger
  • Transaktionsmails, som indeholder passwords eller andre fortrolige oplysninger: Bør kun sendes ved brug TLS

Risikovurdering

I hvert enkelt tilfælde er der tale om, at virksomhedens medarbejdere skal foretage en risikovurdering og handle ud fra denne.

Det betyder i praksis, at medarbejdere skal vurdere i hvilken grad et eventuelt læk af de persondata, der formidles digitalt, bl.a. hvor mange berørte, der er tale om, og hvilke skader et læk vil påføre de berørte – og om hvor sikkerhedsforanstaltningerne vurderes at være tilstrækkelige.

Se her hvordan datatilsynet beskriver, hvad en risikovurdering er.

Hvornår er det personfølsomt?

Forleden havde Peytz & Co og en lang række fagforeninger besøg af IT-advokaten Mandeep Singh Rathour fra BACH advokater, som fortalte om nyhedsbreve og personfølsomme data.

Han havde klare svar på de mest påtrængende spørgsmål om persondata:

  • Er en mailadresse en personoplysning? JA
  • Er der tale om behandling af følsomme oplysninger, når et nyhedsbrev sendes fra et fagforbund til et medlems mailadresse? JA
  • Bliver nyhedsbrevet mere følsomt eller “ulovligt”, hvis det inkluderer navnet på medlemmet? NEJ

Det indebærer i al enkelthed, at man som fagforening altid bør sikre de mails, der sendes til modtagere, fordi de er medlem af en fagforening.

Datatilsynet understreger i deres retningslinjer vigtigheden af TLS i forbindelse med personfølsomme data:

“Afsenderens mailserver bør derfor opsættes således, at der gennemtvinges TLS ved fremsendelse af e-mails, der indeholder fortrolige eller følsomme oplysninger, og at e-mailen ligeledes ikke afsendes, medmindre en TLS forbindelse kan garanteres!”

Bare lige for en god ordens skyld: PeytzMail sender som default altid mails med TLS. Dette betyder, at hvis modtageren også anvender TLS er transmissionen af mailen krypteret og dermed sikret mod, at andre læse denne. Peytz Mail kan også sikre, at dine mails kun bliver sendt, hvis transmissionen skal foregå sikkert med TLS.

Det skriver Datatilsynet om kryptering:

“Det er, …til enhver tid den dataansvarlige, der – med udgangspunkt i sin risikovurdering – skal vurdere, hvilket sikkerhedsniveau der er passende.

Der vil efter Datatilsynets opfattelse være typer af behandling, hvor kryptering på transportlaget (altså mailen, red.) er passende. Det er desuden tilsynets opfattelse, at kryptering på transportlaget bør betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.

Ligeledes vil der være typer af behandling, hvor den mere sikre end-to-end kryptering vil være passende, idet der er en høj risiko for de registrerede. Dette kunne fx være tilfældet, hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve.”
Citat fra: Transmission af personoplysninger via e-mail

Hvilken krypteringsform?

Er du i tvivl, om I skal sende med TLS eller skal have en anden form for kryptering, så kontakt mig eller min kollega Jesper Goos.