Datatilsynet skærper sin praksis vedrørende kryptering

Når man sender fortrolige og følsomme personoplysninger med e-mail, skal der nu krypteres.

nvi_portraetter_done_045_web.jpg

Databeskyttelsesforordningen stiller generelt krav om, at behandling af personoplysninger underlægges et passende sikkerhedsniveau. I den forbindelse er den dataansvarlige forpligtet til at foretage en risikovurdering af, hvad der er ”passende” sikkerhedsforanstaltninger.

 Siden 2008 har Datatilsynet anbefalet – men ikke krævet – at den private sektor anvendte kryptering, når fortrolige og følsomme oplysninger fremsendes med e-mail. Datatilsynet har netop tilkendegivet, at anvendelse af kryptering vil være en passende sikkerhedsforanstaltning, når der fremsendes fortrolige og følsomme oplysninger via e-mail. Anbefalingen er altså blevet til et krav.

 For offentlige myndigheder er der ingen ændring – her har kryptering været et krav siden 2000.

 Den ændrede praksis skyldes blandt andet, at kommunikation via e-mail ikke er risikofri, fordi der i mange tilfælde sker transmission via netværk, som man ikke har fuld kontrol over. Herudover er det ikke ualmindeligt, at e-mails fejlagtigt bliver fremsendt til en forkert modtager.

 Fordi praksisændringen vil kræve nogen tilpasning for den private sektor, har Datatilsynet meddelt, at praksisændringen ikke vil blive håndhævet før den 1. januar 2019, så private virksomheder får mulighed for at få deres it-løsninger på plads.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet