Over sommeren har mailsikkerheden været debatteret indgående. Datatilsynet meldte inden sommerferien ud, at private virksomheder fra 1. januar 2019 omfattes af kravet om kryptering af deres e-mails i lighed med de krav, der gælder for offentlige myndigheder.
Persondataforordningen stiller krav om, at virksomheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de konstaterede risici.
Forordningen fortæller dermed ikke noget om, hvilke sikkerhedsforanstaltninger virksomhederne skal vælge, men blot at der skal foretages en risikovurdering, og at sikkerhedsniveauet – på baggrund heraf – fastsættes.
Det er derfor yderst vigtigt, at virksomhederne har gjort sig overvejelser om, hvilke risici der er i forbindelse med behandlingen af personoplysninger, og desuden har gjort sig klart, hvilke sikkerhedsforanstaltninger der skal anvendes for at mindske denne risiko. For at kunne dokumentere disse overvejelser, er det nødvendigt at notere de vurderede risici ned, og ligeledes hvilke sikkerhedsforanstaltninger der anvendes for at mindske de vurderede risici.
Datatilsynets seneste udmeldinger om kryptering af e-mail præciserer, at følsomme og fortrolige personoplysninger ikke må sendes ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mails over internettet, ligesom der i disse situationer skal anvendes en sikker løsning, herunder f.eks. Digital Post eller brug af en forbindelse, der krypterer det overførte indhold under hele transporten.
Det er dermed Datatilsynets holdning, at det normalt vil være en passende sikkerhedsforanstaltning at anvende kryptering ved overførsel af følsomme og fortrolige oplysninger over internettet.
Da denne ændrede holdning vil kræve en del tilpasninger i mange private virksomheder, har Datatilsynet meddelt, at de først vil håndhæve dette krav fra 1. januar 2019.
Datatilsynet anbefaler som minimum at anvende TLS version 1.2-kryptering ved transmissionen, samt at det sikres, at version 1.2 anvendes hele vejen. Dette kræver, at virksomhedens indstillinger på mailserveren opsættes til at sende med TLS 1.2, og at indstillingerne sættes til ”Forced mode” og AES. Ved at sætte indstillingerne til ”Forced mode” tvinges anvendelse af version 1.2 hele vejen, og ved AES tvinges anvendelse af krypteringsalgoritmen AES (Advanced Encryption Standard) – også kendt som Rijndael – anvendt, der er standarden for de offentlige myndigheder i USA.
Det er vigtigt at huske på, at TLS alene krypterer transportlaget og ikke indholdet, hvorfor risikoen for at uvedkommende får adgang til indholdet, når transmissionen af personoplysninger er bragt til ende (mailen er kommet frem til modtager), skal indgå i forbindelse med en risikovurdering.
Ved overførelse af større mængder af følsomme og fortrolige personoplysninger via e-mail, hvor der er en høj risiko for de registrerede, anbefaler Datatilsynet ”end-to-end”-kryptering af e-mailens indhold med S/MIME, PGP, PKI og certifikater.
Hvis man som virksomhed ikke lever op til Datatilsynets krav om kryptering af e-mail, de yderligere krav som en risikovurdering måtte kræve eller overtræder visse databeskyttelsesregler, kan man risikere at blive straffet med bøder eller fængsel.
A-kasserne, fagforbundene og hovedorganisationerne har længe kunne kommunikere sikkert, og det samme gælder de offentlige myndigheder. Udfordringen har været – og er fortsat – kommunikationen med arbejdsgiverne, og det vil der måske komme løsninger på nu.
Det bliver spændende at følge med i, hvordan de private virksomheder vil implementere sikker kommunikation, og hvilke risikovurderinger og foranstaltninger, der indføres for at sikre et sikkerhedsniveau, der passer til de konstaterede risici.