Kryptering af e-mails med personfølsomme data

Faglig nyhedAlle e-mails, som indeholder personfølsomme data, skal ifølge Datatilsynet sendes via såkaldt ”sikker mail”.

Cybersikkerhed

Alle e-mails, som indeholder følsomme oplysninger, jf. artikel 9 i databeskyttelsesforordningen, skal ifølge Datatilsynet sendes via ”sikker mail”, dvs. de skal være krypteret for at mindske risikoen for misbrug. Almindelige personoplysninger efter forordningens artikel 6 kan stadig sendes via almindelig ikke-krypteret e-mail.

Der findes mange forskellige metoder, som kan anvendes til at kryptere e-mails. Vi vil nedenfor omtale (1) TLS- og (2) end-to-end-kryptering.

  1. Kryptering på transportlaget (TLS) betyder, at det udelukkende er transporten af e-mailen, som bliver beskyttet, og den er derfor ikke beskyttet, når den havner i modtagerens indbakke.

  2. Ved end-to-end-kryptering bliver e-mailens indhold krypteret via nøglekoder, og det er kun afsender og modtager, som har ”nøgle”. Dermed er indholdet af e-mailen krypteret hele vejen, fra afsenderen sender, til modtageren åbner e-mailen.

End-to-end-kryptering ses som en yderligere sikkerhedsforanstaltning til TLS-krypteringen og kan dermed yderligere mindske risikoen for misbrug af e-mailens indhold.

Et relevant spørgsmål er, hvilken krypteringstype der er tilstrækkelig for en revisor at anvende ved korrespondancer indeholdende følsomme oplysninger?

Det er til enhver tid den dataansvarlige, der skal vurdere, hvilket krypteringsniveau der er passende for den følgende korrespondance. Her skal en risikovurdering lægges til grund for valget af krypteringsmetode. Der skal ligeledes tages stilling til, hvilke oplysninger der skal sendes, samt hvor stor en mængde der er tale om.

TLS-krypteringen må betragtes som et minimumsniveau for sikkerhed, når der sendes følsomme oplysninger via e-mail. Det er Datatilsynets og FSR – danske revisorers generelle holdning, at TLS-krypteringen som udgangspunkt anses for at være tilstrækkelig og dermed også som værende en passende metode for en revisor. Dog kan der være situationer, hvor det vil være mere hensigtsmæssigt at anvende end-to-end-kryptering – f.eks. hvis store datamængder modtages til brug for en revisors dataanalyse på personaleområdet, hvilket kan være tilfældet, hvis en revisor indhenter samtlige løndata for en periode (f.eks. et år) samt tilhørende medarbejderstamdata (inkl. f.eks. CPR-numre, adresser m.v.).

Datatilsynet har uddybet emnet i denne artikel, hvor der kan findes yderligere information.

Du kan læse mere om e-mail-sikkerhed i denne rapport fra it-sikkerhedsfirmaet Mimecast. Den kan hentes gratis mod at udfylde navn og e-mail. Forstå de mest aggressive typer e-mail-trusler, hvordan it-sikkerhedsfolk ser dem, og hvad de gør for at kæmpe mod dem. Få reelle værktøjer til at forbedre din organisations e-mail-sikkerhed og cybermodstandsdygtighed.

“Research firm Vanson Bourne conducted a Mimecast-commissioned global survey of 1,025 IT decision makers to gain useful insights into their experiences and outlook on the current state of email security. These participants were interviewed from December 2018 through February 2019 across the US, UK, Germany, Netherlands, Australia, South Africa and United Arab Emirates.”

 


Kontakt

  • Thomas Krath Jørgensen

    Faglig chef - rapportering og udvikling, Statsautoriseret revisor

    4193 3148
  • Søren Lindebjerg Olsen

    Student