Ny afgørelse om virksomheders håndtering af persondata

August 28, 2019

En afgørelse fra Datatilsynet den 26. juni 2019 belyser kravene til virksomheders kryptering af e-mails indeholdende fortrolige oplysninger.

Resumé af sagen

Afgørelsen er foretaget på baggrund af en borgers klage over, at en virksomhed sendte fortrolige oplysninger om personens økonomiske forhold via potentielt ukrypterede e-mails.

De følsomme oplysninger vedrørte borgerens skyldige restancer og de to e-mails blev sendt ved anvendelse af en TLS 1.2 kryptering, der var indstillet til kun at sende e-mails i krypteret tilstand, hvis modtagerens mailprogram understøttede dette.

I sagen gjorde virksomheden gældende, at det var blevet noteret, at borgerens e-mailprogram faktisk understøttede krypteringsfunktionen og at alle e-mails som minimum blev sendt med den nævnte TLS 1.2 kryptering. Derudover havde virksomheden lagt vægt på, at kun en meget lille del af deres modtagere, benyttede sig af e-mailklientversioner, som ikke understøttede krypteringen og at virksomheden konkret vurderede dette for hver enkelt modtager. Alt dette havde virksomheden taget stilling til i deres risikovurdering.

På baggrund af ovenstående fandt Datatilsynet, at virksomheden havde foretaget en korrekt risikovurdering, og at de valgte foranstaltninger havde været passende i pågældende situation i henhold til Databeskyttelsesforordningens artikel 32.

Hvad kan vi lære af afgørelsen?

I denne sag har Datatilsynet endnu engang pointeret vigtigheden af, at virksomheder foretager en risikovurdering af deres aktiviteter inden for behandling af persondata.

Datatilsynets generelle anbefaling er nemlig at en dataansvarlig, der sender e-mails som indeholder følsomme eller fortrolige personoplysninger, altid bør kryptere disse. I denne afgørelse er det desuagtet slået fast, at anbefalinger i henhold til databeskyttelsesforordningen ikke nødvendigvis er absolutte, da en korrekt risikovurdering kan medføre, at kravene til virksomhedens foranstaltninger lempes (eller skærpes) i den konkrete situation. Dette er også sandt på mange andre områder inden for persondatabeskyttelse.

Det er her vigtigt at notere sig, at risikovurderingen selvfølgelig skal baseres på reelle faktiske omstændigheder og ikke må tage udgangspunkt i, hvad den registrerede selv giver tilladelse til, da dette ifølge databeskyttelsesforordningen ikke kan danne grundlag for et passende sikkerhedsniveau.

Yderligere information

Læs datatilsynets afgørelse her:

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jul/klage-over-manglende-kryptering/

Læs mere om databeskyttelse og Datatilsynets krav til afsendelse af sikker mail her:

http://www.lexsos.dk/krav-om-sikker-mail-til-private-virksomheder

http://www.lexsos.dk/nyheder-fra-datatilsynet-om-beskyttelse-af-personoplysninger