Nyt krav: Sådan imødekommer du Datatilsynets skærpede praksis for e-mails

28. november 2018 - Siden 2008 har Datatilsynet anbefalet, at den private sektor anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail. Fra den 1. januar 2019 er det et krav. Der er flere måder, du kan imødekomme Datatilsynets skærpede praksis på.

En fortrolig e-mail, der sendes til den forkerte modtager. Følsomme persondata, der sendes i en e-mail på en usikker forbindelse.

Der kan være mange faldgruber ved brug af e-mails, og transmission af fortrolige og følsomme personoplysninger har været et omdiskuteret emne. 

Den forhøjede opmærksomhed på datasikkerhed i de senere år har medført skærpede lovkrav og ændringer i praksis på tværs af brancher og sektorer. Offentlige myndigheder har siden år 2000 skullet anvende kryptering, men for den private sektor har det kun været en anbefaling.

Det bliver ændret nu – fra 1. januar 2019 er det et krav. 

Hvordan kan du sikre, at lovkravet bliver opfyldt?

Som udgangspunkt er det vigtigt at vurdere, hvilket sikkerhedsniveau der er passende for ens virksomhed eller organisation. Det skal den dataansvarlige sørge for.

En risikovurdering kan give overblik over de konkrete faldgruber hos jer. Resultatet af risikovurderingen kan fx medføre, at man ændrer praksis, så fortrolige og følsomme personoplysninger ikke sendes via mail.

Men menneskelig adfærd er svær at ændre og det er ofte urealistisk at nå i mål udelukkende ved at kommunikere om ændringen af praksis og processer. Derfor må vi se på, hvilke produkter vi kan implementere, som sikrer kryptering uden den store påvirkning af det daglige arbejde.

Det kan fx være kryptering af selve transporten af mailen, eller kryptering af selve indholdet. Afhængigt af modtagerne og niveauet af følsom data kan forskellige løsninger være mest hensigtsmæssige.

Måske har du allerede en løsning, der kan håndtere dette. Det ligger fx med i suiten for både Trend Micro og Symantec.

Husk dog, at det starter med brugerne – de skal forstå hvorfor og hvordan.

Den skærpede praksis skal sikre bedre databeskyttelse

Den skærpede praksis skyldes både den teknologiske udvikling, men også at databeskyttelsesforordningen har fokus på risikominimering. Det fremhævede Datatilsynet ved offentliggørelsen af kravet

Det understreger de også i deres vejledning til transmission af personoplysninger via e-mail: 

"Både offentlige myndigheder og private virksomheder og organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko."

Brug af krypteret transmission kan være med til at minimere risikoen for, at personer får uretmæssig adgang til det sendte data. Hvis e-mailen havner hos en forkert modtager ved en fejl, eller hvis ondsindede personer får adgang til mailen på ulovlig vis, er kryptering en ekstra barriere for adgangen til det pågældende data. 

Når man sender en e-mail som dataansvarlig, har man ansvaret for den sikre fremsendelse til modtagerens mailserver. Som dataansvarlig skal man derfor sørge for, at lovkravet bliver opfyldt fra starten af det nye år. 

Vi modtager løbende henvendelser om, hvordan man kan få helt styr på dette. Har du brug for hjælp? Så udfyld kontaktformularen forneden. 

Ny rapport: Bekymrende tal om dataspor, børn efterlader på nettet

Der skabes digitale dataspor for børnene, lige fra de er født – for nogen endda fra før fødslen. Det beløber sig til en stor mængde billeder og videoer, viser ny rapport. Disse data giver næring til alt fra skræddersyet markedsføring til identitetstyveri og målrettet hacking.

Risikovurdering

Kortlæg dine risici, og få input til, hvor du skal lægge dine ressourcer.

Insider threat: Sådan stoppede en kommune computertyveri

Hvad gør du, hvis du har mistanke om, at en medarbejder stjæler fra din virksomhed? En kommune tog fat på Dubex’ Incident Response Team, der straks igangsatte en indsats for at fange tyven.

Tak for din henvendelse. Du hører fra os hurtigst muligt.