Krypterede e-mails: Skærpet praksis og teknisk konkretisering

09-2018

Med virkning fra 1. januar 2019 skal private aktører også kryptere e-mails, som indeholder fortrolige og følsomme personoplysninger.

Nu er det ikke kun offentlige myndigheder, men også private aktører, som skal benytte sig af kryptering ved afsendelse af e-mails, der indeholder følsomme personoplysninger.

I juli 2018 varslede Datatilsynet en skærpet praksis for kryptering af udgående e-post, som indeholder følsomme personoplysninger (sikker mail) inden for den private sektor. Brugen af sikker e-mail i den private sektor har de sidste 10 år alene været en anbefaling fra Datatilsynet, men fra 1. januar 2019 bliver det et krav.

I skarp kontrast hertil har den offentlige sektor været pålagt et krav om kryptering ved transmission af e-mails, som indeholder fortrolige- og følsomme personoplysninger siden år 2000.

Ny skærpet praksis fra Datatilsynet

Fremover skal både private- og offentlige aktører gøre brug af sikker mail ved transmission af fortrolige og følsomme personoplysninger. Det sker som følge af Databeskyttelsesforordningens mere risikobetonede tilgang til beskyttelse af personfølsomme oplysninger, som har fået Datatilsynet til at skærpe hidtidig praksis for, hvad der kan anses som passende sikkerhedsforanstaltninger ved transmission via internettet.

Datatilsynet har derfor offentliggjort en uddybende, teknisk gennemgang af forskellige teknologier, som kan benyttes til formålet.

Det nye og skærpede krav til kryptering vil blive håndhævet fra den 1. januar 2019. Alle berørte private virksomheder har derfor efteråret til at indrette sin organisation til at møde krypteringskravet i det nye år.

Bird & Birds kommentarer

Bird & Bird anbefaler, at alle virksomheder sikrer, at de kan sende sikre e-mails fra årsskiftet, og at der bliver implementeret procedurer og retningslinjer internt i den enkelte virksomhed for, hvordan den skærpede praksis for transmission af sikker e-mail skal håndteres.

Den enkelte virksomhed skal foretage en vurdering af de data, som den sender via e-mail. Er de pågældende data eksempelvis omfattet af kravet om kryptering? Og hvordan skal medarbejderne vurdere dette?

> Tilmeld dig vores nyhedsbrev og få de seneste nyheder, gode råd og invitationer til events