Udgivet den af Ole Schmitto

Hvad spørger Datatilsynet om ved Sikker mail tilsyn

Som opfølgning på mit nyhedsbrev fredag den 22. november 2019, som også kan læses som blogindlæg Reglerne omkring sikker mail er skærpet af Datatilsynet, har jeg kigget på de spørgsmål datatilsynet har offentliggjort om tilsyn udført i forbindelse med kryptering af email.

Hvis ikke du helt har styr på den tekniske side af sikker mail, vil jeg foreslå at du læser min artikel først.

Hvad spørger Datatilsynet om ved tilsyn omkring Sikker mail?

Datatilsynet har publiceret de spørgsmål, man er blevet bedt om at besvare i forbindelse med tilsyn omkring Sikker Mail. Spørgeskemaet er der link til nederst i artiklen. Jeg har desuden herunder valgt nogle af de spørgsmål, jeg mener er vigtige at kende til, og ikke mindst, lige tænke over. Sender jeg følsomme eller fortrolige personoplysninger via e-mail, så skal der være styr på “teknikken”

  • Spørgsmål 1: Sender XXX følsomme og/eller fortrolige personoplysninger via e-mail over åbne netværk?
    • Sender du f.eks. CPR nr.? Det kunne jo være i en lønseddel, ansøgning eller CV, ja så skal du sende krypteret.
  • Spørgsmål 5: Redegør for hvem i organisationen der kan sende krypterede e-mails, herunder kategorier af ansatte, med angivelse af hvor mange der er i hver kategori.
    • Her skal du kunne redegøre for hvem i organisationen, der sender fortrolige oplysninger, og igen kan det jo være en jobansøgning, der sendes rundt. Bruger du O365, vil den som udgangspunkt være transport krypteret med TLS 1.2. Men sender du udenfor din egen organisation, kan du ikke være sikker.
  • Spørgsmål 6: Redegør for hvilke afsenderadresser, der kan afsende krypterede e-mails, herunder om de under spørgsmål 5 nævnte ansatte kan sende krypteret fra personlige adresser, eller om der afsendes fra enkelte ”hovedadresser”.
    • Her skal der være styr på, hvem der kan hvad i din organisation, og da man jo ikke som standard kan tvinge O365 til at sende TLS 1.2, men skal tilkøbe en service, ja så skal du altså have styr på hvad dine klienter sender.
  • Spørgsmål 7-11: Handler om den tekniske løsning såsom: Redegør for hvilken metode der anvendes til kryptering, når fortrolige og/eller følsomme personoplysninger sendes via e-mail over åbne netværk.
    • TLS vil for de fleste være det man bruger, altså kryptering af konvolut, men ikke brev. Men du skal også teknisk kunne redegøre for, hvilken software eller service du anvender.
  • Spørgsmål 13: Risikovurderingen
    • Dette er nok den vigtigste del af opgaven, -at have taget stilling! Og her skal du fremsende:
    • En kopi af den risikovurdering – i henhold til databeskyttelsesforordningens artikel 32, stk. 1, XXX har foretaget i forhold til afsendelse af fortrolige og/eller følsomme personoplysninger via e-mail over åbne netværk.
    • Kopier af samtlige relevante konfigurationsfiler der dækker perioden 1. januar 2019 til 28. februar 2019.
    • Kopier af samtlige relevante public keys og certifikater der dækker perioden 1. januar 2019 til 28 februar 2019.
    • Øvrige bilag

Hvad bør jeg gøre nu?

  1. Lave en risikovurdering omkring mail
  2. Besvare Datatilsynets spørgsmål 1:
    1. Sender vi følsomme og/eller fortrolige personoplysninger via e-mail over åbne netværk?
    2. Et åbent netværk er et netværk, som den dataansvarlige ikke har fuld kontrol over, fx internettet.
    3. Fortrolige oplysninger kan f.eks. være oplysninger om strafbare forhold og personnumre. Følsomme oplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering.
  3. Hvis Ja, så skal du i henhold til databeskyttelsesforordningens artikel 32, stk. 1 udfærdige en risikovurdering i forhold til afsendelse af fortrolige og/eller følsomme personoplysninger via e-mail over åbne netværk.

Du kan se se Oplysningsskema vedrørende kryptering af e-mails og prøve at udfylde det, så du kan se om du har styr på “Sikker Mail”.

Datatilsynet har artikler om Risikovurdering og Sikker Digital har om Risikostyring

Spørgsmål?

Kontakt mig gerne for en uforpligtende snak på 4025 3921 eller [email protected]