Datatilsynets praksis om kryptering af e-mails

Datatilsynets praksis om kryptering af e-mails

Fra Focus Advokaters GDPR-team, februar 2020

Datatilsynet skærpede fra 1. januar 2019 kravene til brug af e-mails i den private sektor, således at e-mails, der indeholder følsomme og/eller fortrolige personoplysninger, skal krypteres ved transmissionen. Som opfølgning herpå førte Datatilsynet tilsyn med private virksomheders overholdelse af krypteringskravene i 2019.

Datatilsynet udsendte en pressemeddelelse tilbage i juli 2018, hvor de skrev, at det ville være en passende sikkerhedsforanstaltning for både offentlige og private aktører at anvende kryptering ved fremsendelse af følsomme og fortrolige oplysninger via e-mail. Det gav anledning til, at flere stillede spørgsmålstegn ved, hvad der mentes med ”kryptering”, da det er et vidt begreb. Datatilsynet præciserede herefter, at man også på dette område skal foretage en risikovurdering og på baggrund heraf enten vælge kryptering af selve transporten eller kryptering af indholdet hos afsender.

Datatilsynet har som nævnt haft fokus på området i sine tilsyn sidste år, og fire af disse blev foretaget hos hhv. et advokatfirma, revisionsfirmaet BDO, et kontorfællesskab af advokatfirmaer samt fagforeningen Krifa. Datatilsynets fokus under tilsynsbesøgene kan overordnet inddeles i følgende kategorier, som vil blive gennemgået nærmere her i artiklen:

  • Redegørelse for virksomhedens brug af konkrete krypteringsløsninger
  • Hvorvidt virksomheden – forud for tilsynsbesøget – havde udarbejdet en risikovurdering, der tog stilling til risikoen forbundet med fremsendelse af følsomme og fortrolige personoplysninger via internettet
  • Om der havde været tilfælde, hvor virksomheden havde sendt følsomme eller fortrolige personoplysninger uden kryptering siden 1. januar 2019.


Brug af krypteringsløsninger

Datatilsynet indledte tilsynene med at spørge ind til virksomhedernes brug af krypteringsløsninger i overensstemmelse med GDPR artikel 32, når de sender følsomme og/eller fortrolige personoplysninger via e-mail.

Tilsynet kunne konstatere, at alle virksomhederne havde implementeret flere forskellige krypteringsløsninger til dette formål, hvoraf den som udgangspunkt mest anvendte løsning var en end-to-end kryptering via tunnelmail til modtagerens domæne samt ved udveksling af S/MIME certifikat via det offentlige tunnelmail fællesskab eller via en form af TLS-kryptering.

Både advokatfirmaets og BDO’s brug af ovenstående krypteringsløsninger i de pågældende tilfælde var efter tilsynets opfattelse passende, men tilsynet opfordrede dog BDO til at udfase brugen af deres forældede krypteringsalgoritme i deres TLS-løsning.

Kontorfællesskabet af advokatfirmaer havde også implementeret en version af S/MIME certifikatet, hvilket tilsynet fandt tilstrækkeligt ift. visse modtagere af oplysninger, men ikke for alle, herunder advokatfirmaernes klienter. I de tilfælde, hvor kontorfællesskabets klienter ikke understøttede de anvendte end-to-end krypteringsløsninger, blev e-mailen i stedet sendt som opportunistisk TLS, hvor løsningen forsøger at finde sikre transmissionsveje, men hvor dette ikke kan garanteres. Datatilsynet udtalte kritik af, at der ikke forelå en procedure for, hvornår opportunistisk TLS kunne anvendes af medarbejderne, hvilket ikke var tilstrækkeligt sikkert og var dermed i strid med artikel 32.

Krifa anvendte løsningen ”Sikker@Mail” (en kombination af flere krypteringsløsninger), hvilket i de fleste tilfælde fandtes at være i overensstemmelse med sikkerhedskravene. Det var dog ikke tilfældet for Krifas fremsendelse af adviseringsmails samt brugen af ”Krifa Boks”. Her fik Krifa ikke blot udtalt kritik, men også meddelt et påbud om at ophøre med at benytte CPR-nr. som password for at kunne læse sin e-mail ved brug af ”Sikker@Mail”-løsningen, da dette var i strid med artikel 32. Det var altså ikke tilladt at basere fortroligheden af personoplysningerne i e-mailen på personoplysninger (CPR-nr.) i sig selv.

 

Forudgående risikovurdering

Forud for tilsynsbesøget anmodede Datatilsynet virksomhederne om at fremsende en risikovurdering, der tog stilling til anvendelsen af kryptering af e-mails med følsomme eller fortrolige personoplysninger.

Hverken advokatfirmaet, BDO eller Krifa modtog kritik på dette punkt, da de kunne påvise at have foretaget en fyldestgørende risikovurdering. Der blev hos advokatfirmaet og BDO samtidig lagt vægt på, at de også havde undervist og orienteret deres medarbejdere om kryptering af e-mails.

Kontorfællesskabet af advokatfirmaer havde også udarbejdet en risikovurdering, men denne tog ikke konkret stilling til fremsendelse af e-mails indeholdende personoplysninger. Datatilsynet fandt dette i strid med forordningens krav om dokumentation, eftersom tilsynet ikke kunne vurdere, hvorvidt kontorfællesskabets valg af løsninger var begrundet og tog højde for de reelle risici for de registrerede, som var forbundet med transmissionen af oplysningerne. Datatilsynet udtalte også her kritik af den utilstrækkelige sikkerhed, og at der blot var blevet udarbejdet en generel risikovurdering.

 

Tidligere tilfælde vedr. fremsendelse af følsomme/fortrolige personoplysninger uden kryptering

Afsluttende ønskede Datatilsynet at vide, om der i perioden efter 1. januar 2019 var blevet sendt e-mails med følsomme og fortrolige personoplysninger uden passende kryptering.

Både advokatfirmaet, BDO og kontorfællesskabet af advokatfirmaer mente at kende til tilfælde, hvor der var blevet sendt ukrypterede e-mails med følsomme/fortrolige personoplysninger efter 1. januar 2019, hvilket Datatilsynet lagde til grund. Datatilsynet noterede yderligere, at BDO havde en procedure for, hvordan medarbejderen skulle agere, såfremt de havde sendt følsomme eller fortrolige personoplysninger via e-mail uden kryptering.

Modsat kunne Krifa konstatere, at der var blevet sendt op til flere e-mails i perioden uden den påkrævede kryptering. Krifa mente dog, at dette kun var sket få gange samt at de sendte e-mails var blevet sendt med opportunistisk TLS. Krifa vurderede heller ikke, at der havde været behov for at anmelde fremsendelsen af de ukrypterede e-mails til Datatilsynet.

Datatilsynet udtalte kritik af Krifa for ikke at have overholdt artikel 32 om kravet om kryptering af e-mails efter 1. januar 2019 og Krifas egne retningslinjer og risikovurdering samt for ikke at have anmeldt hændelserne til Datatilsynet efter artikel 33 efter, at Krifa var blevet bekendt hermed.

 

Vores anbefalinger

Datatilsynets afgørelser tydeliggør kravene til kryptering af e-mails med følsomme og/eller fortrolige personoplysninger, der transmitteres via internettet. Manglende kryptering af e-mails med disse typer af personoplysninger kan potentielt medføre store konsekvenser for de registrerede, hvorfor det er vigtigt, at virksomheden først og fremmest har overvejet disse risici og truffet passende sikkerhedsforanstaltninger på den baggrund. Der findes mange forskellige krypteringsløsninger, som kun kan anvendes i visse tilfælde, hvorfor virksomheden også bør undersøge, om der er behov for flere komplementerende løsninger.

De fire afgørelser understreger også endnu engang vigtigheden af, at have foretaget og kunne dokumentere en fyldestgørende risikovurdering. Dette har ofte stor betydning for, hvorvidt Datatilsynet udtaler kritik eller ej. Derudover er det vigtigt, at risikovurderingen er konkret; en generel risikovurdering, der ikke tager stilling til f.eks. fremsendelse af e-mails, vil som udgangspunkt ikke kunne anvendes til meget – hverken for virksomheden selv eller for Datatilsynet i forbindelse med et tilsyn.

Det vil i forbindelse med virksomhedens arbejde med at implementere passende krypteringsløsninger være relevant at gøre sig følgende overvejelser:

  1. Sæt evt. forced TLS som standard. Det er svært at kontrollere den enkelte medarbejder løbende, men forced TLS sætter en god minimumsgrænse for kryptering, som ikke kan fravælges.
  2. Orientér organisationen om den valgte sikkermail løsning.
  3. Undervis relevante medarbejdere om brugen kryptering, herunder de løsninger virksomheden har valgt.

De fire afgørelser kan læses herunder:

Datatilsynets nyhed, der omtaler de fire afgørelser, kan læses her.

Focus Advokater har i et tidligere nyhedsbrev udgivet en artikel med gode råd til, hvornår og hvordan man laver en risikovurdering. Den kan genlæses her.

 

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.

Jesper Krag

Jesper Krag

Advokat Læs mere
Jesper Løffler Nielsen

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere
  2. Focus Advokater
  3. Forretningsområder
  4. Specialjura
  5. Persondata (GDPR)
  6. Datatilsynets praksis om kryptering af e-mails
Kontakt os

Se alle medarbejdere eller søg herunder

Tilmeld nyhedsbrev

Hold dig opdateret med nyheder fra Focus Advokater

Tilmeld

Nyheder
Se flere nyheder
Arrangementer
Se flere arrangementer