Nu skal banken, fysioterapeuten og fagforeningen sende krypteret mail til dig

Datatilsynet skærper kravene til private virksomheders håndtering af fortrolige og personfølsomme oplysninger.

En passende kryptering vil i dag være TLS version 1.2. og op, oplyser Datatilsynet. TLS står for ”Transport Layer Security”. (Foto: Olafur Steinar Gestsson © Scanpix)

Borgere i Danmark skal fremover kunne være trygge, når virksomheder og organisationer sender e-mail med oplysninger om eksempelvis privatøkonomi, helbred eller seksuelle præferencer.

Mens offentlige myndigheder siden årtusindskiftet er blevet pålagt at kryptere e-mail med personlige oplysninger, er turen nu kommet til private virksomheder.

- Der kommer jo ingen breve i vores postkasser længere. Alle bruger e-mail. Og nu sidestiller vi det private med det offentlige på den måde, at det fremadrettet normalt vil være en passende sikkerhedsforanstaltning at bruge kryptering, fortæller kontorchef Jesper Husmer Vang fra Datatilsynet.

Tidligere har det blot været en anbefaling, at de private virksomheder krypterer borgernes personfølsomme oplysninger – det vil sige sikrer at indholdet i en e-mail først kan blive afkodet, når modtageren åbner den.

Både fysioterapeuten og teleselskabet skal kryptere

Fra 1. januar er Datatilsynets anbefaling skiftet ud med et krav, der omfatter både store og små virksomheder samt organisationer.

- Der vil være virksomheder, der allerede i dag benytter kryptering. Men vi har også indtryk af, at der er en del som ikke gør det. Især for mange små og mellemstore virksomheder vil det her være en stor udfordring at leve op til, siger Jesper Husmer Vang.

Teleselskabet, advokaten og fysioterapeuten har nu resten af året til at anskaffe et krypteringsprogram, få adgang til e-boks, opdatere mailsystemet eller sortere i de oplysninger, der bliver sendt til borgerne.

Efter nytår kan Datatilsynet straffe virksomhederne med påbud, forbud eller bøder, hvis ikke de kan dokumentere, at de i passende grad har beskyttet borgernes oplysninger.

Risiko for identitetstyveri eller videresalg til markedsføring

I hackermiljøer er man bevidst om, at det er forholdsvis let at opsnappe oplysninger fra ukrypterede e-mail, fortæller Jesper Husmer Vang fra Datatilsynet.

Men e-mail havner også nogle gange i de forkerte hænder ved simple fejl.

- Det er en risiko for borgerne, hvis man sender de her meget følsomme oplysninger via ukrypteret mail. Og det er oplysninger, der kan bruges til alt muligt, hvis de bliver opsnappet af hackere. De kan bruges til identitetstyveri eller blive solgt videre til markedsføring.

Kravet til virksomhederne kommer efter implementeringen af EU’s dataforordning, GDPR, som trådte i kraft 25. maj og styrker borgernes rettigheder i forhold til deres persondata – genetiske, mentale, kulturelle, økonomiske og sociale oplysninger.

- EU har sagt, at der er oplysninger, som man skal passe ekstra godt på. Og når nu den teknologiske udvikling har gjort, at de private kan benytte kryptering i samme grad som det offentlige, så synes vi ikke længere, der er noget argument for, at de ikke skal følge samme krav, siger Jesper Husmer Vang.

It-ekspert: E-mail er som et åbent postkort

Ifølge formand for IT-Branchens it-sikkerhedsudvalg og direktør i it-virksomheden Liga ApS Bjarke Alling er der god grund til at stramme op på kryptering af mail i danske virksomheder.

E-mail er som at sende et åbent postkort, fortæller han.

- Der er groft sagt ikke sket noget nyt, siden det blev opfundet i 1982. Og derfor er der huller i sikkerheden. Men heldigvis er teknologien i forhold til kryptering på vej i den rigtige retning.

Han fortæller, at de anerkendte mail-systemer i dag er sat op til at kunne håndtere krypteret data.

For at kunne sende og modtage krypteret mail kræves en digital signatur. For eksempel NemID Medarbejdersignatur, som alle danske virksomheder allerede har.

Mange virksomheder har dog i stedet valgt at kommunikere med kunderne via kundernes egne profiler hos virksomheden eller via e-boks, der nu har 20.000 erhvervsbrugere.

- Den enkelte del med at forstå og arbejde med kryptering er ikke svær. Men udfordringen for mange virksomheder er at gøre det i sammenhæng med alle de andre små ting, de skal gøre, siger Bjarke Alling.

Dansk Erhverv: Tillid er det allervigtigste

Hos interesseorganisationen Dansk Erhverv, der repræsenterer en lang række brancher inden for handel, oplevelse, vidensbaseret rådgivning, transport og service, er digital chef Janus Sansgaard positiv over for Datatilsynets skærpede krav.

- Der er jo i virksomhedernes egen interesse. For hvad enten man sælger franskbrød, skruer eller konsulentydelser, så lever man jo af, at kunderne har tillid til én, siger han.

Virksomhederne er allerede i forbindelse med EU's persondataforordning blevet pålagt at beskytte kundernes oplysninger, slette dem, hvis de ikke længere skal bruges og spørge om lov, hvis de skal deles med en tredjepart.

- Hvis Datatilsynet stillede gakkede krav om, at alt skulle krypteres, ville vi være kritiske over for det. Men det, der sker nu, er sådan set bare, at Datatilsynet beder virksomhederne om at huske e-mails, når nu de er i gang med at se på den samlede informationsstrøm med persondata, siger Janus Sandsgaard.

Facebook
Twitter