Fra d. 1 januar 2019 skal alle e-mails, som indeholder følsomme eller fortrolige personoplysninger, sendes via en krypteret forbindelse.
Datatilsynet har netop udgivet en supplerende informationsside vedrørende reglerne for transmission af personoplysninger via e-mail. Her finder du konkrete, tekniske specifikationer i forhold til at kryptere e-mails. Du finder et link til Datatilsynets informationsside nederst i artiklen.
Fra anbefaling til krav om krypteret e-mail
Siden 2008 har det blot været en anbefaling for private aktører at sende følsomme og fortrolige oplysninger med e-mail. For offentlige myndigheder har det været et krav at sende krypteret siden 2000. Men efter Persondataforordningen trådte i kraft d. 25. maj 2018, meldte Datatilsynet i juli måned ud, at kravet om anvendelse af sikker e-mail til følsomme og fortrolige oplysninger træder i kraft for både private og offentlige aktører pr. 1. januar 2019. De private aktører har derfor mulighed for at indrette sig på den nye praksis inden nytår.
Hvilke oplysninger er følsomme og fortrolige?
De følsomme oplysninger er oplistet i forordningen og omfatter følgende oplysningstyper:
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetiske data
- Biometriske data med henblik på entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
Det er altså oplysninger, der falder ind under ovenstående, som betegnes følsomme, og som pr. 1. januar 2019 SKAL sendes krypteret. Udover de følsomme oplysninger, gælder kravet om krypteret fremsendelse også for fortrolige oplysninger.
Et konkret eksempel på en fortrolig oplysning er CPR-nummeret, som også er særskilt reguleret i Databeskyttelsesloven. Man skal dog være opmærksom på, at personoplysninger, der normalt kategoriseres som almindelige oplysninger og som ikke er særskilt reguleret i anden lovgivning, kan være fortrolige i visse sammenhænge. Eksempler herpå kan være oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det kan endvidere være oplysninger om interne familiemæssige forhold, som fx ulykker eller selvmord.
Hvis en oplysning ikke kan nægtes udleveret efter offentlighedsloven, kan den ikke anses for at være fortrolig.
Ny vejledning fra Datatilsynet
Med den nye vejledning fra Datatilsynet vedrørende teknisk konkretisering ift. kryptering af e-mails giver Datatilsynet mere konkrete bud på, hvordan man som både privat og offentlig aktør skal anvende e-mails til fremsendelse af følsomme og fortrolige oplysninger.
Du kan læse Datatilsynets nye vejledning her.