Tilstrækkelig kryptering af mails

Vi har i den seneste tid, fået en del henvendelser omkring sikkerheden ved at sende mails til private mailadresser, altså mailadresser fra eksempelvis Gmail, Hotmail, Outlook.com, ProtonMail eller Yahoo (”private mailadresser”).

Spørgsmålet er ofte, om det er et brud på persondatasikkerheden, hvis man har fremsendt en mail, der indeholder almindelige, fortrolige og/eller følsomme personoplysninger til en privat mailadresse, der måske ikke er tilstrækkeligt krypteret.

Vi hører også, at I kan modtage henvendelser fra forvaltningen elle andre, der gør opmærksom på, at der er sendt personoplysninger via private og/eller ikke krypteret mails.

Helt overordnet kræver Datatilsynet, at følsomme oplysninger sendes krypteret, hvilket også afspejles i kommunes regelsæt.

Dog er der nogle væsentlige nuancer, der gør, at vi har set nærmere på de foreliggende vejledninger og udtalelser fra Datatilsynet netop omkring dette emne.

Ud fra disse kan følgende konkluderes:

Som udgangspunkt kan almindelige personoplysninger om en enkelt person fremsendes via mail, det vil sige også til ”private mailadresser”.

Hvis der, udover almindelige personoplysninger, også fremsendes fortrolige og/eller følsomme personoplysninger, men kun om en enkelt person, skal mailen være krypteret i forsendelsen.

I praksis vil forsendelsen af en KK-mail til en "private mailadresse" være tilstrækkeligt krypteret i transmissionen af selve e-mailen.

Hvis man fremsender fortrolige eller følsomme personoplysninger om flere/mange personer, bør man imidlertid derudover overveje yderligere sikkerhedsforanstaltninger (fx Send Sikkert (end-to-end kryptering), kryptering af vedhæftninger og lignende). Dette hænger sammen med, at der er en øget risiko forbundet med behandling af fortrolige og følsomme personoplysninger om mange personer, og derfor et skærpet sikkerhedsbehov.