Kryptering af fortrolige og følsomme personoplysninger sendt via e-mail

Datatilsynet offentliggjorde sommeren 2018 en udtalelse om skærpet praksis i forhold til krypteret e-mail. Budskabet er, at efter Datatilsynets opfattelse vil det normalt være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Det nævnes, at den skærpede praksis i forhold til den private sektor – hvor de kommunalt ejede forsyninger henhører – vil blive håndhævet fra 01.01.2019.
Se www.datatilsynet.dk

Et skøn sat under regel

Helt overordnet skal man huske, at spørgsmålet om kryptering af e-mails i nærværende situation blot er en del af opfyldelse af kravet om "passende sikkerhedsforanstaltninger", se artikel 32 i persondataforordningen.

Datatilsynet har i sin udmelding om kryptering af e-mail i den private sektor sat skønnet i den risikobaserede tilgang lidt under regel, derved at man har anlagt det generelle synspunkt, at e-mails som indeholder følsomme persondata samt fortrolige persondata, skal sendes krypteret.

Følsomme data er således defineret i persondataforordningens artikel 9. Men udfordringen er begrebet fortrolighed, hvor Datatilsynet har givet nogle enkelte eksempler, se www.datatilsynet.dk/generelt-om-databeskyttelse.

Det betyder, at håndteringen af øvrige personoplysninger principielt skal undergå en konkret vurdering.

Kryptering og behandling af følsomme og fortrolige data m.m. er i øvrigt omtalt i DANVAs ”Vejledning om persondata for vandselskaber”.

Kryptering af forbrugsrelaterede data sendt via e-mail

Datatilsynet har meddelt, at de fra 01.01.2019 vil håndhæve en skærpet praksis i forhold til krypteret e-mail.
Budskabet er, at efter Datatilsynets opfattelse vil det normalt være en passende sikkerheds-foranstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Se: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/

Forbrugsdata i e-mail

Et oplagt spørgsmål er, om vandselskabet skal kryptere evt. e-mail til kunden, hvori der indgår forbrugsrelaterede data.

Selvom nogle forsyninger sender/formidler forbrugsrelateret data – ikke mindst faktura – via PBS (Pengeinstitutternes BetalingsService), via e-Boks efter aftale med kunden eller kunde-portaler, så er det DANVAs indtryk, at der er forsyninger, der anvender almindelig e-mail-kommunikation i den forbindelse.

DANVAs bedste vurdering og anbefaling

Det er på nuværende tidspunkt ingen juridisk afklarede udmeldinger i forhold til om forbrugsdata – i et eller andet omfang – kan fremsendes via ukrypteret e-mail til eksterne folk uden for forsyningen.

Med ”risiko” for at overimplementere persondatareglerne tilsiger et forsigtighedsprincip, at kunders data omgås med stor varsomhed – og at forsyningerne arbejder for, at personhenførbare data videreformidles via beskyttede kanaler.

For indeværende er det DANVAs bedste vurdering, at forbrugsdata og fakturaer, der typisk udsendes kvartalsvis, af kundernes generelt opleves som værende af privat karakter. Dette peger følgelig i retning af, at de kan anses som værende fortrolige data i persondatasammenhæng.
Dette betyder, at hvis en forsyning på lovlig vis har e-mailadressen til kunden og ønsker at sende sådanne data, så bør der ske en kryptering.

Det er dog DANVAs bedste vurdering, at det i dag ikke er en realistisk, generel løsning at anvende kryptering af e-mails som en sikker måde at behandle persondata på. Anbefalingen er at anvende mere centraliserede løsninger over enten PBS, e-Boks eller kundeportaler – og en midlertidig løsning kan være brevpost.

Anbefalingen lægger således op til, at forsyningen italesætter sikkerhed over for kunderne.

Der er et længere baggrundsnotat udarbejdet af DANVA her. 

Datatilsynet

Afslutningsvis kan det nævnes, at DANVA har anmodet Datatilsynet om en vurdering af, om der skal ske en kryptering af mails med data om vandforbrug, fordi disse data anses som værende fortrolige.

Yderligere information

Kontakt Susanne Vangsgård på 8793 3560 eller sv@danva.dk