Skip to main content

Artikel · 15.04.2021

Hvilke krav er der til kryptering af e-mails?

Utilstrækkelig kryptering er, i kølvandet på en ny afgørelse fra Datatilsynet, i fokus netop nu. Kravene til kryptering af e-mails er relevante for rigtig mange virksomheder og har betydning for hvilken server, man kan bruge. For eksempel er en standardkonfigureret Outlook Exchange-server som hovedregel ikke tilstrækkelig, når man vil sende fortrolige eller følsomme personoplysninger som CPR-numre eller helbredsoplysninger.

I den omtalte sag undersøgte Datatilsynet af egen drift Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelser. Tilsynet udtalte kritik af Rigspolitiet, da tilsynet fandt, at krypteringen i selvbetjeningsløsningen skete med en forældet standard, nemlig TLS 1.0.

Styrelsen udtalte, at sikring af personoplysninger af ”beskyttelsesværdig karakter” ved kryptering på transportlaget (TLS) skal ske med TLS version 1.2 eller derover.

Afgørelsen er ikke overraskende og et udtryk for Datatilsynets faste praksis. Den giver dog en god anledning til at opridse, hvilke krav der gælder i forhold til kryptering af personoplysninger, når de sendes via internettet f.eks. i e-mails eller via webformularer. Der vil blive taget udgangspunkt i e-mails, da dette er relevant for alle.

Hvilken kryptering skal bruges, når personoplysninger udveksles via e-mail?

Kryptering af e-mails kan overordnet ske på to måder.

Først og fremmest kan der ske kryptering på selve transporten af e-mailen - såkaldt transportlagskryptering (TLS).

Datatilsynets praksis er, at der i alle tilfælde skal benyttes transportlagskryptering, når der sendes fortrolige personoplysninger, f.eks. personnumre, eller følsomme personoplysninger, f.eks. helbredsoplysninger, via e-mail. Transportlagskrypteringen skal være TLS version 1.2 eller bedre, og den skal være forceret. Forceret TLS medfører, at e-mailen ikke kan sendes, hvis modtagerens e-mailserver ikke som minimum understøtter TLS version 1.2.

En standardkonfigureret Outlook Exchange e-mailserver, som rigtig mange virksomheder bruger i dag, er som udgangspunkt konfigureret til såkaldt opportunistisk TLS, hvilket medfører, at e-mailen altid sendes til modtageren – også selvom modtagerens e-mailserver ikke understøtter TLS kryptering. Det betyder, at man som dataansvarlig risikerer, at e-mails ikke krypteres på transportlageret. Som dataansvarlig i Danmark er det derfor vigtigt manuelt at konfigurere sin e-mailserver til forceret TLS, hvis man sender eller har planer om at sende fortrolige og følsomme personoplysninger via e-mail.

Hvad er end-to-end kryptering?

Derudover kan man kryptere selve indholdet af e-mailen hos afsenderen - såkaldt end-to-end kryptering. End-to-end kryptering kræver, at man benytter sig af en dedikeret krypteringsløsning hertil. Modtageren skal benytte samme løsning for at kunne se e-mailens indhold. NemID kan bl.a. bruges til end-to-end kryptering via NemID udvidelsesprogrammet, der p.t. kan installeres i Outlook og Thunderbird.

End-to-end kryptering er som udgangspunkt kun nødvendigt, når der sendes følsomme eller fortrolige personoplysninger om ”et stort antal” registrerede. Hvad der helt konkret udgør ”et stort antal” registrerede er ikke klart og må derfor fastlægges konkret.

Vil du vide mere om kryptering af e-mails? Du er velkommen til at kontakte advokat Mathias Bartholdy, som er certificeret it-advokat og desuden har specialiseret sig i GDPR.