Kryptering af mails – ny specificering
En nylig afgørelse fra Datatilsynet understreger at kryptering af mails skal ske på en bestemt måde.
Datatilsynet har igen afgjort en sag om kryptering af mails. Igen var der tale om Lowell. Datatsilsynet har i en tidligere afgørelse om samme firma, kommet frem til at TLS kryptering var tilstrækkeligt.
Det var det ikke i denne sag. Forskellen mellem den aktuelle sag og den tidligere afgørelse var, at Lowell i denne sag ikke havde kunnet verificere, om modtagerdomænet kunne modtage TLS, og på trods af denne manglende verifikation afsendte e-mailen med opportunistisk indstillet TLS 1.2 – og dermed kunne Lowell ikke godtgøre, om e-mailen rent faktisk var modtaget krypteret.
Afgørelsen er ikke overraskende. Når der sendes følsomme eller fortrolige data fra en dataansvarlig via mails, skal der altid ske kryptering. Dette kan fx. være via end-to-end eller TLS. Anvendelse af TLS kræver altid at afsender kontrollerer, at modtagerdomænet kan modtage TLS.
Der er endnu uvist præcist, hvordan denne kontrol skal dokumenteres. Om det er et print/PDF dokument der beviser TLS-modtageligheden inden afsendelse af hver mail, eller om det fx. er tilstrækkeligt at udføre kontrollen periodisk.
Vi minder om vores persondatamanuals afsnit 5.1
Ansvar
Når vi sender en e-mail, er det vores ansvar at sikre fremsendelse til modtagerens mailserver. Når e-mailen leveres til modtagerens mailserver, overleveres ansvaret for behandlingen af denne e-mail som udgangspunkt til modtageren selv. Vi er således ikke ansvarlige for, om en modtager har valgt en mindre sikker mail-løsning.
Når vi skal vi sikre os, at TLS kryptering er til stede, kan det passede ske via www.checktls.com.”
Nyhedsartikel fra Datatilsynet:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/okt/datatilsynet-udtaler-kritik-af-utilstraekkelig-mailkryptering/
Afgørelsen fra Datatilsynet:
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/okt/klage-over-behandlingssikkerhed/
Man kan købe værktøjer til persondata hos Faglig Afdeling A/S her:
http://fagligafdeling.dk/om-faglig-afdeling/ydelser/vaerktojer/persondata
Pligtig kryptering af mails (1-times onlinekursus)
Datatilsynet stiller krav om kryptering af alle mails med følsomme eller fortrolige data.
Har du en ordning på plads? Og hvilken løsning skal du vælge?
Dato, tid og sted
2. december 2019 kl. 12.30-13.30 – Tilmeld dig her
Underviser
Bjarne Aalbæk, statsautoriseret revisor
Pris
750 kr.