Nyt krav: Private virksomheder skal kryptere flere mails

Pressemeddelelse af Stina Askholm Hansen 04. dec. 2018

Det nye år er også lig med nye krav til, hvordan din virksomhed skal håndtere fortrolige oplysninger, når I sender mails. De skærpede krav kommer fra Datatilsynet i forlængelse af Persondataforordningen. Læs her, hvornår og hvordan du fra 1. januar 2019 sender sikre mails.

”Siden 2008 har det været et krav for det offentlige at skulle kryptere mails, når de indeholdt følsomme oplysninger. Det har samtidig været Datatilsynets anbefaling, at den private sektor gjorde det samme. Den anbefaling bliver nu også til et krav for private virksomheder fra årsskiftet,” fortæller Trine Irmang Østengaard, der er advokat i ADVODAN Lyngby.

De skærpede krav til, hvordan private virksomheder håndterer oplysninger via e-mail, kommer fra Datatilsynet i kølvandet på forårets nye Persondataforordning, der arbejder med en såkaldt risikobaseret tilgang.

”E-mails er den mest udbredte måde at kommunikere på. Men som afsender har du fx ikke altid fuld kontrol over det netværk, du sender dine e-mails over – eller du kommer måske til at sende til den forkerte modtager. Derfor skal du fremover i højere grad vurdere risikoen, når du sender mails – og tage ansvaret for, at data bliver behandlet ordentligt og når frem til den rette person,” siger Trine Irmang Østengaard.

Læs også: Særomvisning på Lys over Lolland til Lovestormere

Skærpede krav
Ifølge advokaten skærper Datatilsynet kravene i forhold til den hidtidige anbefaling, der har handlet om at skulle kryptere mails med personfølsomme oplysninger eller med cpr-numre.

”Det nye – og overraskende – er, at private virksomheder nu også skal kryptere mails, der indeholder fortrolige oplysninger. Det betyder, at virksomhederne nu i højere grad skal vurdere indholdet af de mails, de sender – for at sikre, at data bliver behandlet på en ordentlig måde,” siger Trine Irmang Østengaard og fortsætter:

”Der er ingen tvivl, når det gælder personfølsomme oplysninger om fx helbred, seksuelle forhold, etnicitet, politisk eller religiøs overbevisning, cpr-numre og strafbare forhold. Så skal mailen krypteres. Men det er måske lidt sværere at bedømme, hvad der forstås ved fortrolige oplysninger. Det kan godt være såkaldt almindelige oplysninger, men som i den pågældende situation betragtes som fortrolige informationer.”

Hvis din virksomhed ikke overholder de nye, skærpede krav, kan I risikere bøder i samme størrelsesorden som for de øvrige krav i Persondataforordningen.

Læs også: Europas bedste luksushotel 2018!

SÅDAN GØR DU KONKRET
Advokaten giver følgende anbefalinger, så du som privat virksomhed kan være klar til Datatilsynets skærpede krav pr. 1. januar 2019:

Overvej, hvilke slags informationer I sender i din virksomhed. I bør skelne mellem disse typer informationer:

Almindelige oplysninger: De oplysninger der ikke falder ind under kategorien ”personfølsomme oplysninger” er ”almindelige oplysninger”, som fx navn og email-adresse – men også oplysninger om uddannelse, alder, civilstand eller selv registreringsnummeret på en bil. Mails med disse oplysninger skal normalvis ikke krypteres, med mindre der er tale om fortrolige oplysninger.

Følsomme oplysninger: Fx omkring helbred, etnicitet, seksualitet og fagforeningsmæssige tilhørsforhold. Mails med disse oplysninger skal krypteres.

Personnumre og oplysninger om strafbare forhold: Fx omkring en medarbejder, der har begået strafbare forhold. Mails med disse oplysninger skal krypteres.

Fortrolige oplysninger: Fx lønforhold og skatteoplysninger. Mails med disse oplysninger – fx mails med ansættelseskontrakter eller lønforhandlinger – skal krypteres.

Sørg for, at I krypterer både interne og eksterne mails, der indeholder følsomme eller fortrolige oplysninger.

Forbered jer, så I er teknisk klar til at sætte det rette sikkerhedsniveau og kryptering fra den 1. januar. Der findes flere måder at kryptere mails på, og I kan læse mere i Datatilsynets tekniske konkretisering her:
https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/ 

Læs også: Femern A/S igangsætter større anlægsarbejder på Femern-tunnelen





Del denne historie: vælg platform