Krav om sikker mail til private virksomheder

August 06, 2018

Siden 2008 har det været Datatilsynets praksis, at kryptering af e-mails udelukkende var et krav for den offentlige sektor, mens denne foranstaltning kun var en anbefaling til den private sektor. Grundet den nye databeskyttelsesforordnings ikrafttræden publicerede Datatilsynet imidlertid den 23. juni 2018 en nyhed om, at der vil ske en skærpelse af hidtidig praksis i forhold til transmission af følsomme og fortrolige oplysninger.

Denne skærpelse medfører, at kryptering af virksomhedens e-mail nu vil blive anset som en “normalt passende sikkerhedsforanstaltning”. Der lægges således op til, at virksomheder i den private sektor som altovervejende hovedregel skal kunne sende sikre, krypterede e-mails når disse indeholder følsomme og fortrolige oplysninger.

Følsomme oplysninger består bl.a. af information om politisk overbevisning, race og etnicitet, seksuel orientering, helbredsoplysninger m.v. Fortrolige oplysninger består af de mest private forhold, der efter almindelig opfattelse i samfundet bør kunne forlanges unddraget fra offentlighedens kendskab. Dette kunne være familieproblemer, skattegæld, cpr-nummer, andre sociale problemer osv. Hvis en e-mail indeholder enten følsomme eller fortrolige oplysninger, skal denne fremover krypteres og herved beskyttes. Almindelige personoplysninger såsom navn, adresse, ansættelsesdato- og stilling m.fl. vil stadig kunne sendes ukrypteret medmindre særlige forhold gør sig gældende.

Datatilsynet opstiller flere argumenter for, at denne skærpelse er nødvendig. Grundet digitaliseringen er e-mails efterhånden blevet normen for skriftlig kommunikation. Dette medfører, at aktører der vil skaffe sig uberettiget adgang til disse oplysninger har større fokus på netop e-mails. Derudover er antallet af fejlsendte e-mails også stigende. Grundet denne anseelige risiko for uberettiget tilegnelse af e-mails indeholdende følsomme oplysninger, har Datatilsynet fundet den nævnte skærpelse nødvendig på baggrund af databeskyttelsesforordningens risikobaserede tilgang til datasikkerhed.

Tilpasning til Datatilsynets nye krav kræver, at de private virksomheder undersøger hvovidt e-mail beskyttelse er nødvendig. Hvis svaret på dette er bekræftende, må virksomheden undersøge mulighederne for opsætning af et system, hvorfra der kan afsendes “sikre mails”. I denne forbindelse kunne det overvejes, om andre af virksomhedens oplysninger samtidigt kunne have gavn af at blive sendt i krypteret form.

Datatilsynet accepterer, at tilpasning til denne nye praksis vil tage tid og har derfor valgt først at håndhæve dette nye tiltag fra den 1. januar 2019.