Datatilsynet skærper sin praksis over for private virksomheder, når de sender følsomme og fortrolige personoplysninger per e-mail
Datatilsynet har varslet en praksisændring, der gør op med tilsynsmyndighedens hidtidige praksis over det seneste årti. En praksis, der alene anbefalede den private sektor at anvende kryptering ved fremsendelse af e-mails indeholdende fortrolige og/eller følsomme personoplysninger, altså ikke stillede et egentlig krav herom.
Et krav, som alle offentlige myndigheder siden årtusindeskiftet imidlertid har været pålagt.
Datatilsynets beslutning om at ændre praksis sker i medfør af de nye regler i databeskyttelsesforordningen og som følge af den teknologiske udvikling siden 2008. På den baggrund har Datatilsynet meldt ud, at det fremadrettet vil være myndighedens opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige myndigheder og private virksomheder – at anvende kryptering ved fremsendelse af fortrolige og følsomme personoplysninger i en e-mail.
Praksisændringen rammer alene fremsendelsen af e-mails, der indeholder følsomme og fortrolige personoplysninger, såsom helbredsoplysninger, oplysninger om strafbare forhold, cpr-numre samt almindelige personoplysninger, fx oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, interne familieforhold og lignende. Datatilsynet henviser i denne henseende til vurderingen af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, som foretages på baggrund af straffelovens § 152 sammenholdt med forvaltningslovens § 27.
Skærpelsen skal højne det generelle sikkerhedsniveau, således at potentielle sikkerhedsbrud forebygges, da ”kryptering” betyder, at der anvendes en hemmelig krypteringsnøgle, der gør en usikker forbindelse sikker, når der sendes en e-mail fra én e-mailkonto til en anden.
Datatilsynets praksisændring vil kræve en tilpasning i den private sektor, hvorfor tilsynsmyndigheden har besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019. På den baggrund har den private sektor således 4 måneder til at implementere passende interne procedure for fremsendelsen af e-mails.
Datatilsynets kommende praksis indeholder således et skærpet krav til private virksomheder, herunder særligt de virksomheder der i forvejen ikke har en e-mailløsning, der lever op til tilsynets krav.
Sende e-mails sikkert?
Datatilsynet udtaler følgende herom:
Når en e-mail sendes over åbne netværk som fx internettet, har man som afsender eller modtager som udgangspunkt ingen kontrol over, hvilke maskiner (servere m.v.) den konkrete e-mail passerer igennem undervejs, herunder hvor i verden disse maskiner er lokeret.
Når Datatilsynet taler om at sende en e-mail sikkert over et åbent netværk, skal det forstås sådan, at den sendes på en måde, hvor indholdet i e-mailen ikke kan tilgås af uvedkommende. For at opnå det, er der som hovedregel to mulige tilgange: enten anvendes der kryptering på selve transporten af de datapakker som indeholder e-mailen, når de sendes over netværket, eller også krypteres selve indholdet af e-mailen hos afsenderen, inden den sendes over netværket.
LOU Advokatfirma anbefaler at den enkelte virksomhed i første omgang undersøger om der fremsendes de ovennævnte personoplysninger pr. e-mail. I bekræftende tilfælde vil virksomheden skulle finde en IT-leverandør, der tilbyder en e-mailløsning, der er den mest optimale for virksomheden.
Du kan læse mere om praksisændringen på Datatilsynets hjemmeside ved at klikke her.