Persondataforordningen skærper kravet om sikker mail – at man er sikker på at der ikke er uvedkommende der læser med når man sender en mail.
Datatilsynet har for den private sektor skærpet kravet om sikker mails fra 1. januar 2019. For den offentlige sektor har det været et krav med kryptering af følsomme og fortrolige oplysninger siden år 2000.
Hvorfor skal du sende sikkert?
Når du sender et brev med postvæsnet, så er postbuddet forpligtet til at varetage dit brev sikkert og fortroligt; han sørger for at ingen læser med i transporten af brevet fra A til B.
Når du sender en mail – eller ”brev” – via internettet, så er der i udgangspunktet ikke noget postbud der sikrer dit ”brev” i transporten fra dig som afsender til modtageren.
Persondataforordningen ønsker at begrænse uvedkommendes adgang til vores personoplysninger og at sende ”breve” sikkert via internettet er derfor en del af forordningens krav.
Hvornår skal du sende sikkert?
Når dit ”brev” indeholder personfølsomme eller fortrolige oplysninger.
Følsomme og fortrolige oplysninger er f.eks. fagforeningsmæssige forhold, seksuel orientering, helbredsoplysninger og strafbare forhold. CPR.nr. er også underlagt fortrolighed.
Se her Datatilsynets oversigt over hvilke oplysninger der er tale om.
Når din mail indeholder ”almindelige” oplysninger, så som kontaktoplysninger, interesser, gæld, CV og ansøgninger m.m. er der ikke krav om at man skal sende mails krypteret. Oplysningerne er dog stadig underlagt forordningen og skal derfor opbevares sikkert.
Hvordan sender du sikkert?
Man kan sende sikkert på 2 måder: kryptering af transporten (”postbuddet”) af mailen eller kryptering af selve indholdet af mailen (”brevet”).
TLS-Kryptering (Transport Layer Security) krypterer transporten fra afsenderens mailservere til modtagerens mailserver. Den sikrer altså at postbuddet kan levere din mail uden at nogle læser med.
”End-to-end” kryptering krypterer selve indholdet i din mail og sikrer derfor at uvedkommende ikke kan læse din mail, selv om vedkommende får adgang til din mail – eller til dit brev, for at blive i metaforen.
Datatilsynet anbefaler at du som minimum bruger TLS, hvis man overfører fortrolige og/eller følsomme personoplysninger. Det er den dataansvarlige – afsenderen – der skal vurdere følsomheden af indholdet og vurdere om der skal mere omfattende sikkerhedsforanstaltninger end TLS, f.eks. End-to-end kryptering, på mailen.
Værktøjer til at sende sikkert
Der findes efterhånden en række muligheder for at sende sikkert. Måske har du allerede muligheden tilgængelig, der er nok for at opfylde passende sikkerhedsforanstaltninger i jeres virksomhed.
De fleste mail-udbydere kører i dag krypteret (TLS) som standard.
Office 365 tilbyder flere former for end-to-end kryptering (kræver p.t. E3 eller E5 licens).
Der kan også købes programmer og services der kan klare opgaven. Rmail tilbyder End-to-end kryptering og tilbyder desuden en række dokumentationsmuligheder som sikrer at du også lever op til dokumentationskravet i forordningen.
En andet værktøj man ofte kan benytte sig af, er at kryptere, eller låse, vedhæftede filer.
“En anden tilgang til end-to-end kryptering ved fremsendelse af fx dokumenter, der indeholder fortrolige eller følsomme oplysninger er, at kryptere vedhæftningerne til en almindelig e-mail som ikke er sikret på anden vis.
Denne tilgang adskiller sig fra de ovenfor nævnte, idet afsenderen og modtageren skal anvende samme nøgle (fx et password), til at åbne de krypterede vedhæftninger. Her skal man som dataansvarlig naturligvis kunne stå inde for sikkerheden i tilgangen, både i forhold til valg af krypteringsløsning, samt måden hvorpå nøglen udveksles med modtageren.” Datatilsynet
Husk sikkerheden af din indbakke
Du skal også huske at tænke sikkerheden af din indbakke ind i den gennemgang af sikre mails.
Din mail ligger typisk på en udbyders server. Husk at have databehandleraftale med dem, så du lever op til forordningen.
Overvej hvor nemt det er at få adgang til din computer. Husk at sætte adgangskode på din maskine, så du sikrer uvedkommendes adgang til din computer, f.eks. ved tyveri.
Er der backup af din mail? Husk at skabe dig overblik over hvor din mails – eller kopier af dem – befinder sig, dermed har du også overblik over hvem der har adgang til dine mails.
Ryd op i din indbakke
Den nye tilgang til brug af mails vil muligvis ændre vores mailkultur radikalt på sigt. Der bliver i dag sendt rigtig, rigtig mange mails rundt, indeholdende mange data. For mange er ens indbakke et opslagsværk, hvor man ofte søger en historik på en sag eller en pågældende kontaktperson.
Forordningen sætter krav om at du ved hvilken data du har opbevaret – og hvor længe du har den opbevaret. Det betyder at du faktisk er nødt til med jævne mellemrum at gennemgå din indbakke for unødig opbevaring af persondata. Og det kan for mange være en meget stor opgave med alle de mails der ryger frem og tilbage.
Tænk derfor en ekstra gang over hvilke oplysninger du sender og modtager. Begræns de mails du sender ud af huset og overvej om de mails du får ind skal opbevares i et andet arkiv-system, så du har begrænset de oplysninger du har liggende til kun at være de vigtigste. Og måske faktisk kan slette hele din indbakke med jævne mellemrum.
Og så er det både mere bæredygtigt og mindre ressourcekrævende at sende færre mails.
Mange har i dag flere mailadresser installeret i deres mailprogram. I sådanne tilfælde er det vigtigt at være opmærksom på hvilken konto man svarer fra. Besvarer eller videresender du f.eks. en intern fortrolig mail fra en privat gmail konto eller en anden firmakonto, så ligger den mail – og dermed de fortrolige oplysninger på en anden mailserver end den tilsigtede.
Hvad gør vi for at sikre dine mails?
Vi rådgiver vores kunder om hvilke løsninger der er bedst for netop jeres virksomhed. Der er meget forskellige behov for at kunne sende sikkert, og vi samarbejder med jer om hvilken skræddersyet løsning der passer til jeres virksomhed eller organisation.
Vis medarbejdere sender internt sikkert via Office 365.
Mails til og fra vores kunder bliver enten sendt sikkert via Microsoft, uanset om det er via vores sagsbehandlingssystem eller via medarbejderens eget mailprogram.
Vi har desuden interne retningslinjer der sikrer at mails med personfølsomme eller fortrolige oplysninger altid sendes krypteret til modtageren, enten via en krypteret mail i Office 365 eller Rmail.
Kilder og links
- Datatilsynet om sikker mails
- Altingets trin-vejledning til håndtering af mails
- Blogindlæg om hvilke muligheder man har for sikker mail, eg.dk
- God gennemgang af hvad sikker mail er, gdpr.dk
- Jobansøgninger på mail er OK, Datatilsynet
- Google giver andre adgang til dine mails
- Sikker mail i Outlook med NemId
- TLS er kun minimumskravet til kryptering af mails, Version2