28.08.18 Vi rådgiver dig Nyheder

E-mails med følsomme og fortrolige oplysninger skal krypteres

Datatilsynet skærper sin praksis om kryptering. I 2019 gælder der nye krav til private virksomheders kryptering af e-mails.

De nye regler

Efter databeskyttelsesforordningen skal den dataansvarlige anvende passende sikkerhedsforanstaltninger, når der sendes persondata. Efter disse regler har alle myndigheder siden 2000 skulle sende følsomme og fortrolige oplysninger krypteret. For private virksomheder har anbefalingen blot været, at man burde – men ikke skulle – kryptere oplysningerne, når det blev sendt i en e-mail.

Den 1. januar 2019 skærper Datatilsynet imidlertid sin praksis. Fremover vil det være et krav, at også private dataansvarlige krypterer fortrolige og følsomme oplysninger.

Datatilsynet har dog endnu ikke forholdt sig konkret til, hvilken type kryptering der kræves. Dette må som udgangspunkt bero på den enkelte virksomheds risikovurdering.

Hvilke typer oplysninger?

De følsomme oplysninger er oplistet i databeskyttelsesforordningen og dækker over race, politisk, filosofisk og religiøs overbevisning, fagforeningsmæssige tilhørsforhold, helbredsoplysninger og seksuel orientering.

De fortrolige oplysninger er en yderligere kategori af oplysninger, der ikke er nævnt i forordningen. Efter Datatilsynets praksis dækker det over de mest private almindelige oplysninger.

Det gælder for eksempel oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold og dækker også oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde.

Datatilsynet har tidligere udtrykt det sådan, at en oplysning skal anses for fortrolig, når oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab.

CPR-nummer og oplysninger om strafbare forhold omfattes også.

Nærmere om kryptering

I den digitale verden skal man kryptere sine mails, hvis man – populært sagt – gerne vil være sikker på, at kuverten til brevet er lukket og være sikker på, at brevet ikke bliver læst af andre end modtagere under transmissionen. 

At starte med at kryptere er derfor en del af opbygningen af en god digital sikkerhedskultur i virksomheden – og fra årsskiftet vil være det et lovkrav for de fortrolige og følsomme oplysninger.

DI's råd

Datatilsynets skærpelse af den tidligere praksis vil formentlig kræve noget tilpasning i virksomheder, der ikke allerede benytter kryptering.

DI anbefaler derfor, at virksomheder i god tid inden fristen identificerer de følsomme/fortrolige oplysninger og sikrer, at I har styr på de interne processer og it, inden ændringen træder i kraft den 1. januar 2019.

I bør afklare, hvem modtagerne af jeres oplysninger er, for eksempel myndigheder, virksomheder, leverandører, borgere, og/eller kunder, ligesom I bør afklare, om modtagerne kun befinder sig i Danmark eller også internationalt.

På den baggrund bør I sammen med it-afdelingen eller jeres it-leverandører vælge en krypteringsløsning, der bedst muligt understøtter arbejdsprocessen, og som for eksempel kan integreres i virksomhedens e-mail-program, via login-løsninger eller på anden vis.

Har du brug for hjælp?

 I Juravagten sidder DI's eksperter inden for ansættelsesret og personalejura klar, hvis du har brug for hjælp.

Åbningstider: mandag-fredag kl. 8.00-17.00
Telefon: 3377 3377
Mail: jura@di.dk

Relateret