Gode råd om krav om email kryptering

Fra d. 1 januar 2019 skal du anvende kryptering ved email kommunikation. Det har datatilsynet skrevet om d. 23 juli 2018 i en pressemeddelse, og d. 21 september udsendte de Transmission af personoplysninger via e-mail

Hvad skriver datatilsynet?

Citat: Rettigheder og pligter Både offentlige myndigheder og private organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med email via internettet. Og de skal endvidere gennemføre passende tekniske og organisatoriske foranstaltninger, for at imødegå den identificerede risiko.

Hvornår skal det være på plads?

Citat Datatilsynet: Da ovennævnte praksisændring vil kræve en del tilpasning i den private sektor, har tilsynet besluttet ikke at håndhæve det nye udgangspunkt om kryptering før d. 1 januar 2019. Den private sektor har således 3 måneder til at indrette sig på den nye praksis.

Hvad betyder det?

Det betyder at du skal riskovurdere din email kommunikation, for at tage stilling til om du skal anvende kryptering ved transmission eller end-to-end kryptering af hele indholdet.

Som minimum bør du allerede i dag anvende transmissions kryptering. Det betyder, at det er under “transport” mellem din mailserver og modtagers mailserver, data skal være krypteret. Kryptering kræver et certifikat.

Læs min artikel Har du styr på dine certifikater?

Ved transmissions kryptering vil du som bruger ikke opleve nogen ændring. Det vil udelukkende være et teknisk setup, der sikrer, at de to mail servere kun vil tale sammen krypteret.

End-to-end kryptering

Sender du følsomme data som sundhedsoplysinger, skal du kryptere indholdet, så det kun er modtageren med den rigtige nøgle, der kan åbne email’en.

Hvad bør jeg gøre nu?

Risiko vurdere dit behov. Det vil for nogle vil være en blanding af begge former, men for de fleste vil transmissions kryptering være tilstrækkelig.

Hvordan checker jeg mit setup for Transmissions kryptering

Du skal checke om din mail server understøtter den standard man bruger, der hedder Transport Layer Security i daglig tale TLS.

Der findes forskellige test sites, som tester for TLS.

Jeg har testet mit domain med TLS email test og opnår en score på 100. Så prøv at teste dit domain.

Schmitto tls

Hvad hvis min score er under 100?

Ja, så skal du finde fejlen. Jeg prøvede lige at teste datatilsynet.dk, hvis resultat blev 90.

Datatilsynet tls score

Årsagen til at de ikke fik 100, ser du i kolonnen Cert, og længere nede i teksten står der. “email er krypteret, men hosten er ikke verificeret” ..

Tls datatilsynet cert

noget Datatilsynet nok bør rette op.

Hvis du vurderer, at der er krav til End-to-end kryptering

Så er det en lidt større udfordring, da det kræver at indholdet er krypteret. I Datatilsynets vejledning er der nævnt forskellige former for End-to-end kryptering, så jeg foreslår, at du læser den.

Hvis du bruger Office 365

Så vil jeg overveje deres løsning. Den består i, at man sender en email, og markerer den som sikker. Modtageren får så en email med link og SMS, og læser selve mailen på “din” O365 sikrede https hjemmeside. Dermed behøver du ikke at udføre et setup mellem dig som afsender og din kunde som modtager. Det kan i mange tilfælde være en større udfordring med offentlige certifikater med mere, især hvis det kun drejer sig om en enkelt email. Office 365 kræver en E3 licens.

Hvis du vil læse mere: