Nye regler for kryptering af Email, kræver nye systemer

Kryptering af e-mails

Du må ikke længere sende følsomme eller fortrolige oplysninger via e-mail, uden at denne er krypteret e.l. Dette gælder alle danske virksomheder, institutioner, fonde og foreninger mv. Reglerne gælder ikke for privatpersoner.

Generelt

Datatilsynet strammer nu op omkring e-mails. Hvis e-mailen indeholder følsomme eller fortrolige data, skal den krypteres. Der kan være andre sikkerhedsforanstaltninger, men kryptering er den oplagte.

Følsomme oplysninger omfatter

  • • Race og etnisk oprindelse, Politisk overbevisning, Religiøs eller filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Genetiske data, Biometriske data med henblik på entydig identifikation, Helbredsoplysninger, Seksuelle forhold eller seksuel orientering.

 

Fortrolige oplysninger omfatter

E-mails med fortrolige oplysninger skal også krypteres. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Listen med fortrolige oplysninger er efter omstændighederne, oplysninger om:

Personnummer, Strafbare forhold, Indtægts- og formueforhold, Arbejdsforhold, Uddannelsesforhold, Ansættelsesmæssige forhold, mv. Andre forhold kan også være relevante.

Eksempler på e-mails, der ikke må sendes ukrypteret.

  • • Arbejds- eller ansættelsesretlige forhold: Ansættelseskontrakter og opsigelsespapirer, referater af medarbejderudviklingssamler, tjenesteattester, osv. uanset om disse indeholder CPR.
  • • CPR-nummer. Det kunne fx være på en lejekontrakt, lønsedler mv.
  • • Fakturaer der skal indberettes til SKAT, og som derfor indeholder CPR.
  • • Fremsendelse af forsikringsforhold, for fx patienter til sygeforsikringen.
  • • Lønforhold, formueforhold. Fx et personligt regnskab til banken. Eller lønseddel til bank/kreditbureau. Eller en oplysning om lønforhøjelse til en medarbejder. Eller en e-mail til lønbogholderen om at en given medarbejder skal have x kr. i løn eller trækkes y. kr. pga. ferie.
  • • En ansøgning der sendes til en kollega på e-mail.
  • • Andre forhold er der en del tvivl om. Man kan argumentere i begge retninger for om der er tale om fortrolige oplysninger eller ej (ved fx en faktura på et arbejdsrelevant kursus, eller opkrævning af kontingent fra idrætsforeningen). Datatilsynet siger at de vil komme med en vejledning senere på året. Men allerede nu kan man arbejde med at få løsningen på plads i IT-systemerne.

 

Kontrollen sker først fra 2019.

Reglen kræver implementering af nye systemer i de fleste (formentligt alle) virksomheder. Datatilsynet har givet en frist til 1.1.2019, til at få dette på plads. De vil således ikke udføre kontrol af de nye regler før 2019.

Kontakt os, hvis du vil høre mere.