Supplementet er indarbejdet i vejledningen om, hvornår og hvordan man som dataansvarlig og databehandler skal kryptere emails. Den samlede beskrivelse omfatter både kryptering i den private sektor og i den offentlige sektor.
Læs vejledningen "Transmission af personoplysninger via e-mail"

Den nye praksis for den private sektor finder anvendelse fra 1. januar 2019, mens der ikke er nogen ændring til praksis vedrørende den offentlige sektor.

Advokat, partner i Plesners Persondata team, Michael Hopp, giver her sin vurdering af Datatilsynets udmeldinger om kryptering af emails:

Risikobaseret tilgang

Helt overordnet skal man huske, at spørgsmålet om kryptering af emails blot er en del af opfyldelse af kravet i art. 32 om "passende sikkerhedsforanstaltninger" – hér i forbindelse med, at følsomme eller fortrolige persondata sendes med email.

Hvad der i medfør af art. 32 er passende sikkerhedsforanstaltninger skal fastlægges på baggrund af en samlet vurdering af ”det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål”, set over for ”risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.”

Dette kan ved en første læsning virke meget teoretisk, men dækker blot over, at man skal starte med at fastlægge risikoen (set som produktet af sandsynlighed og virkning) for de berørte personers ret til beskyttelse af persondata om dem, f.eks. hvis der sker hacking af en email, som indeholder persondata. Det vil hér f.eks. være klart, at risikoen ved hackingen er større for personen, hvis emailen indeholder følsomme persondata, end hvis den blot indeholder helt simple, almindelige persondata.

Det er vigtigt at være opmærksom på, at når man arbejder med sikkerhed under art. 32, så ser man på personens risiko – ikke på den dataansvarliges eller databehandlerens risiko.

Risikoen skal man holde op mod det tekniske niveau, de med sikkerhedsforanstaltningerne forbundne omkostninger, og behandlingens øvrige omstændigheder. Hvad der til enhver tid er passende sikkerhedsforanstaltninger vil derfor bl.a. flytte sig i takt med den teknologiske udvikling, og omkostningerne til implementering af sikkerhedsforanstaltningerne.

Den samlede vurdering fører dermed den dataansvarlige eller databehandleren til de konkrete tiltag/sikkerhedsforanstaltninger, som man skal implementere for at leve op til art. 32.

Man kan læse meget mere om datasikkerhed i vejledningen om ”Behandlingssikkerhed og Databeskyttelse gennem design og standardindstillinger”, som findes på Datatilsynets hjemmeside. Her kan man også læse vejledningen om ”Risikovurdering”.

Hvornår skal man bruge kryptereret email i den private sektor

Datatilsynet har i sin udmelding om kryptering af email i den private sektor sat skønnet i den risikobaserede tilgang lidt under regel, derved at man har anlagt det generelle synspunkt, at emails som indeholder følsomme persondata samt fortrolige persondata, skal sendes krypteret.

Følsomme persondata er defineret i art. 9 i persondataforordningen, og dækker oplysninger om:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data (se særlig definition)
• Biometriske data med henblik på entydig identifikation (se særlig definition)
• Helbredsoplysninger (se særlig definition)
• Seksuelle forhold eller seksuel orientering.

Fortrolige persondata er ikke defineret i persondataforordningen, men omfatter for det første oplysninger om strafbare forhold – altså oplysninger omfattet af artikel 10 i databeskyttelsesforordningen og § 8 i databeskyttelsesloven. Der skal anlægges en bred fortolkning begrebet strafbare forhold.

Fortrolige persondata omfatter også oplysninger om CPR-nummer – se § 11 i databeskyttelsesloven.

Endvidere omfatter fortrolige persondata andre oplysninger, som efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27.

Almindelige, ikke-følsomme persondata vil i visse situationer derfor være fortrolige. Det vil i hvert fald gælde de yderligere oplysninger, som var omfattet af den gamle § 8 i persondataloven, altså bl.a. oplysninger om væsentlige sociale problemer og bortvisningsgrundlag. Fortrolige oplysninger vil efter Datatilsynets opfattelse derfor også kunne omfatte - efter omstændighederne - oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Fortrolige persondata vil endelig også normalt omfatte persondata, som ved særlig regulering (særlov mv.) er gjort fortrolige.

Hvordan skal man kryptere

Datatilsynet meddelte i juli 2018, at det fremadrettet ville være deres opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Det blev på daværende tidspunkt ikke præciseret, hvilken form for kryptering der ville blive anset for nødvendig eller tilstrækkelig; men den efterfølgende medieomtale efterlod det indtryk, at der skulle ske "end-to-end" kryptering, hvilket gav anledning til nogen bekymring blandt virksomheder - særligt de virksomheder, der har omfattende kommunikation med privatpersoner, da det er et fåtal af privatpersoner, der er i stand til at modtage krypterede mails.

Datatilsynet præciserer nu, at "end-to-end" kryptering må anses for passende i særlige tilfælde - f.eks. ved fremsendelse af større mængder følsomme eller fortrolige oplysninger om et større antal datasubjekter, men at kryptering i transportlaget som udgangspunkt vil være tilstrækkeligt i mange tilfælde.

Ud fra en praktisk/administrativ synsvinkel er det en god nyhed, da end-to-end kryptering nok som udgangspunkt giver en højere sikkerhed; men omvendt også er mere krævende at implementere og vedligeholde, og derudover indebærer visse forretningsmæssige risici - ud over at det som nævnt kun er et fåtal af privatpersoner, der er i stand til at modtage krypterede mails.

End-to-end kryptering kræver udveksling af nøgler mellem parterne og medfører dermed besvær til denne udveksling og senere administration af nøgler.

Anvendes personlige nøgler kan der opstå afhængighed af enkeltpersoner (da kun disse som udgangspunkt har kendskab til nøglen). Dette kan selvfølgelig imødegås ved etablering af et internt "nøglearkiv", hvor nøgleholderne er forpligtet til at deponere en kopi af koden - ganske som det på it-området har været praksis at deponere kopi af administrator-passwords. Denne løsning er imidlertid ikke uden udfordringer, da man jo bliver nødt til at overveje, hvordan man kan sikre, at der ikke er nogen, der får uautoriseret adgang til den deponerede nøgle, ligesom der er risiko for, at nøgleholderen glemmer at opdatere det deponerede kodeord, når kodeordet skiftes.

Et alternativ kunne være fælles nøgler, som kendes at et antal personer. Denne løsning er dog ca. lige så (u)hensigtsmæssig som fælles passwords. Det kræver, at koden skiftes, hver gang en person udtræder af gruppen, der må kende nøglen og at alle øvrige personer i gruppen informeres om den nye nøgle, ligesom udskiftning af kode - ved brug af symmetrisk kryptering - vil kræve koordinering med modparten.

Det giver derfor god mening, at kravet om end-to-end kryptering begrænses til situationer, hvor der udveksles større mængder følsomme eller fortrolige data. For virksomheder, der gør dette lejlighedsvis, vil byrden nok være til at overkomme, de få gange, det bliver relevant, og for virksomheder, der har behovet regelmæssigt, vil der som udgangspunkt under alle omstændigheder være behov for formaliserede processer, og det vil derfor relativt set være mindre belastende for disse virksomheder at etablere et setup til sikker håndtering af nøgler.

For øvrige meddelelser, som "kun" kræver kryptering i transportlaget præciserer Datatilsynet, at det må være modtagerens eget ansvar, såfremt denne vælger at bruge en usikker mailservice, og at afsenderen som udgangspunkt vil have gjort tilstrækkeligt ved at søge at kryptere meddelelsen.

Det er positivt, at vi nu har fået denne præcisering. Som Datatilsynet imidlertid også anfører, er og bliver det den dataansvarliges og databehandlerens ansvar at vurdere, hvad der er "passende sikkerhedsforanstaltninger", og det er derfor vigtigt, at man ikke blindt læner sig op ad vejledningen, men stadig forholder sig kritisk til den konkrete situation. Man skal løbende forholde sig til den teknologiske udvikling og udviklingen i trusselsbilledet, da dette kan ændre på, hvad der i fremtiden vil være "passende sikkerhed".