Sådan efterkommer du de nye krav til kryptering

Datatilsynet har talt. Fra den 1.januar 2019 bliver det et krav at kryptere e-mails og andre transmissioner af fortrolige og følsomme personoplysninger. Det har været påkrævet af det offentlige siden 2000 og anbefalet for den private sektor siden 2008. Nu bliver praksis skærpet til et krav for private aktører som følge af databeskyttelsesforordningens (GDPR) risikobaserede tilgang til behandlingssikkerhed.

Det vil fremover være Datatilsynets opfattelse, at kryptering er en passende sikkerhedsforanstaltning, når man sender følsomme personoplysninger såsom helbredsoplysninger, seksuel orientering eller religiøse tilhørsforhold (se forordningens Artikel 9) og fortrolige oplysninger som eksempelvis CPR-nummer. Kryptering bliver med andre ord en central del af arbejdet med juridiske og økonomiske dokumenter. Har du stadig ikke styr på, hvad det betyder og hvad du skal gøre?

Så læs følgende korte introduktion til kryptering.

E-mails og kryptering

E-mail var en af de første former for kommunikation på internettet. (Den første e-mail blev sendt i 1960erne af Ray Tomlinson og har ifølge myten enten indeholdt beskeden ”Test123” eller ”QWERTY", som er de øverste bogstaver på et keyboard). Der er dog ikke sket meget siden den brede introduktion i 1980erne, så det er relativt nemt for hackere at opsnappe og misbruge personlige oplysninger, der sendes via e-mail og bruge dem til enten identitetstyveri eller videresalg. Derfor kræver Datatilsynet nu, at man benytter sig af kryptering for at beskytte oplysninger mod at blive tilgået af uvedkommende.

Kryptering er grundlæggende en proces, hvor man gør informationer ulæselige for uvedkommende. Krypterer man en e-mail, gør man altså selve beskeden ulæselig for andre end afsender og modtager. Det modsatte af en kryptering er dekryptering, hvor man gør den ulæselige information læselig igen.

Som Datatilsynet også beskriver, er der grundlæggende to former for kryptering ved transmission af oplysninger. 

1.     Kryptering ved transporten, hvor oplysningerne kun bliver krypterede, når de transporteres via et netværk. Hermed lagres de ukrypterede og læsbare både på modtager og afsenders server.

2.     End-to-end kryptering, hvor afsender og modtager hver har et sæt nøgler. Afsender har en nøgle til at kryptere indholdet og modtageren har en nøgle til at dekryptere indholdet. Et eksempel på en end-to-end-kryptering er NemID, hvor både afsender og modtager har et nøglekort, som de hver især bruger til at få adgang til det fortrolige indhold.

Datatilsynet specificerer ikke, om man skal bruge transport-kryptering eller en end-to-end kryptering. Det afhænger af den konkrete risikovurdering. Det betyder samtidig, at den dataansvarlige er forpligtet til at foretage en vurdering af det passende sikkerhedsniveau for en transmission af personlige oplysninger.

Programmer til kryptering

Datatilsynet anbefaler selv PGP som et end-to-end program, man kan bruge til at kryptere sine e-mails. Det er en relativt nem integration, som dog kræver, at man enten bruger Outlook eller Thunderbird.

Da mange bruger Gmail, vil man også se flere, der i stedet bruger S/MIME. Den nævner Datatilsynet også eksplicit. Fordelen er, at mekanismen typisk er indbygget i udbyderen og derfor udfører kryptering uden at være synlig for brugeren. Det kræver dog, at man har G Suite Enterprise og at administratoren aktiverer brugen af S/MIMI på din mailkonto. Læs Googles guide her.

Alternativer til kryptering

E-boks er et skridsikkert alternativ til diverse mailudbydere, når man vil indgå ukrypteret transmission af data, da oplysningerne er beskyttede efter samme standard som i det offentlige. Brugen af NemID er desuden blevet strømlinet i en sådan grad, at det vil være et effektivt og nemt alternativ.

Derudover er der diverse velbeskyttede virtuelle datarum, som eksempelvis benyttes ved due diligence processer. Contractbook er en helt tredje mulighed. Der er en SaaS-platform, hvor man kan sende og opbevare personoplysninger i kontrakter, regnskaber og andre juridiske dokumenter. Her er påkrævet totrinsverifikation samt end-to-end-kryptering. Læs mere om Contractbook og Contractbook /a>.