Lagt op d. 13. august 2018

Datatilsynet har netop strammet reglerne for, hvornår private virksomheder er forpligtet til at anvende kryptering af e-mails og anden internetkommunikation.

Datatilsynet kræver fremover som udgangspunkt, at der anvendes kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet. Hidtil har kryptering alene været en anbefaling, og dermed ikke et krav.

Hvornår skal data krypteres?

Når oplysningerne transmitteres via et netværk, som den dataansvarlige ikke har fuld kontrol over, såsom internettet, skal de krypteres. Typeeksemplet herpå er afsendelse af personoplysninger i en e-mail. Der kan dog også ske transmission af data via eksterne netværk på anden vis, f.eks. hvis virksomheden har en kontaktformular på hjemmesiden, hvor fysiske personer kan sende personoplysninger, eller ved anvendelse af fildelingstjenester såsom Dropbox, OneDrive mv.

Hvilke data skal krypteres?

Datatilsynet kræver at både følsomme og fortrolige personoplysninger krypteres.

Følsomme personoplysninger er defineret udtømmende i forordningens artikel 9 og omfatter oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger, seksuelle forhold eller seksuel orientering.

Fortrolige oplysninger er ikke defineret i forordningen. Det afgørende for om en oplysning er fortrolig vil være en vurdering af om oplysningen efter den almindelige samfundsopfattelse kan forlanges holdt fortrolig. CPR numre betragtes som en fortrolig oplysning.

Herudover kan en række almindelige personoplysninger i visse situationer være fortrolige. Datatilsynet nævner som eksempel oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, oplysninger om interne familieforhold, såsom selvmordsforsøg eller ulykkestilfælde.

På baggrund heraf anbefaler GLS-A, at der anvendes sikker mail, når I fremsender oplysninger om en medarbejder til GLS-A.

Hvordan krypteres data?

Kryptering af data kan ske ved at virksomheden anvender sikker mail. Der fås flere forskellige IT-løsninger herfor, og hvis I er i tvivl, anbefaler vi, at I retter henvendelse til jeres IT-leverandør.

GLS-A stiller sikker mail til rådighed, idet alle vores e-mailadresser kan modtage sikker mail. Det er dog vigtigt at huske, at en mail kun kan sendes sikkert, såfremt både afsender og modtager har en sikker mail funktion.

Hvornår træder forpligtelsen til at kryptere i kraft?

Kravet om kryptering udspringer af den nye persondataforordning og gælder således allerede nu. Datatilsynet har dog besluttet at give virksomhederne en periode til at indrette sig på det nye krav. Datatilsynet vil derfor først håndhæve den nye praksis om kryptering pr. 1. januar 2019.