Skærpet praksis i forhold til kryptering af e-mails

Siden 2008 har det efter Datatilsynets praksis alene været en anbefaling, og ikke et krav, at private virksomheder anvender kryptering, når fortrolige og følsomme personoplysninger sendes med e-mail.

Er du opmærksom på, at Datatilsynet har skærpet sin praksis i forhold til kryptering af e-mails i den private sektor?

Datatilsynets har den 23. juli 2018 oplyst, at denne praksis nu ændres, således at det fremadrettet efter Datatilsynets opfattelse normalt vil være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af fortrolige oplysninger med e-mail via internettet.

Den nye praksis trådte i kraft den 1. januar 2019

Datatilsynet har samtidig oplyst, at denne nye praksis først vil blive håndhævet fra den 1. januar 2019, således at privat virksomheder har de resterende måneder af 2018 til at foretage eventuelle nødvendige tilpasninger som følge af det nye krav om kryptering.

Datatilsynets nyhed af d. 23. juli 2018 kan læses her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/

Supplerende udtalelse fra datatilsynet 

Datatilsynet har efterfølgende offentliggjort en supplerende udtalelse, der uddyber den skærpede praksis rent teknisk i forhold til konkrete teknologier.  

Det anføres bl.a. i denne supplerende udtalelse, at det til enhver tid er den datatansvarlige, der - med udgangspunkt i en risikovurdering – skal vurdere, hvilket sikkerhedsniveau der er passende. Der vil således efter Datatilsynets opfattelse være typer af behandling hvor – i kraft af den høje risiko for de registrerede – den mere sikre end-to-end kryptering vil være passende. Det kan ifølge Datatilsynet eksempelvis være tilfældet, hvis en dataansvarlig, fx et forsikringsselskab, skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve. I så fald kan den dataansvarlige, på baggrund af en risikovurdering, beslutte at end-to-end kryptering vil være en passende sikkerhedsforanstaltning.

Du kan læse den supplerende udtalelse af d. 20. september 2018 og de nærmere krav til kryptering her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/sep/teknisk-konkretisering-ift-kryptering-af-e-mail/

Evt:  Hos Brandt er vi bekendt med, at mange af vores kunder allerede benytter teknologier for kryptering af e-mail til myndigheder og virksomheder m.fl. Men vi er også opmærksomme på, at der hos en række kunder kan være tekniske udfordringer med at imødekomme de nye krav om kryptering. Der findes en række udbydere af forskellige tekniske løsninger på markedet, der understøtter muligheden for sikker digital kommunikation i din virksomhed.