De nye regler
Efter databeskyttelsesforordningen skal den dataansvarlige anvende passende sikkerhedsforanstaltninger, når der sendes persondata. Efter disse regler har alle myndigheder siden 2000 skulle sende følsomme og fortrolige oplysninger krypteret. For private virksomheder har anbefalingen blot været, at man burde – men ikke skulle – kryptere oplysningerne, når det blev sendt i en e-mail.
Den 1. januar 2019 skærper Datatilsynet imidlertid sin praksis. Fremover vil det være et krav, at også private dataansvarlige krypterer fortrolige og følsomme oplysninger.
Datatilsynet har dog endnu ikke forholdt sig konkret til, hvilken type kryptering der kræves. Dette må som udgangspunkt bero på den enkelte virksomheds risikovurdering.
Hvilke typer oplysninger?
De følsomme oplysninger er oplistet i databeskyttelsesforordningen og dækker over race, politisk, filosofisk og religiøs overbevisning, fagforeningsmæssige tilhørsforhold, helbredsoplysninger og seksuel orientering.
De fortrolige oplysninger er en yderligere kategori af oplysninger, der ikke er nævnt i forordningen. Efter Datatilsynets praksis dækker det over de mest private almindelige oplysninger.
Det gælder for eksempel oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold og dækker også oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde.
Datatilsynet har tidligere udtrykt det sådan, at en oplysning skal anses for fortrolig, når oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab.
CPR-nummer og oplysninger om strafbare forhold omfattes også.
Nærmere om kryptering
I den digitale verden skal man kryptere sine mails, hvis man – populært sagt – gerne vil være sikker på, at kuverten til brevet er lukket og være sikker på, at brevet ikke bliver læst af andre end modtagere under transmissionen.
At starte med at kryptere er derfor en del af opbygningen af en god digital sikkerhedskultur i virksomheden – og fra årsskiftet vil være det et lovkrav for de fortrolige og følsomme oplysninger.