Kilde: datatilsynet.dk

D. 1. januar 2019 strammer datatilsynet snøren endnu engang.

Det betyder, at private virksomheder nu skal kryptere e-mails med følsomme personoplysninger på lige fod med det offentlige.

GDPR flyttede ind i vores (virtuelle) stuer i 2018, da den nye persondataforordning trådte i kraft i slutningen af maj og fyldte vores indbakke med dynger af informationer og samtykkeerklæringer. Det viser sig nu, at det ikke er sidste gang, at grebet strammes om danske virksomheder. d. 1 januar skal både fagforeninger, busselskaber, fysioterapeuter og den lokale snedker-virksomhed kryptere e-mails med følsomme personoplysninger.

Din virksomhed har også personfølsomme data.

Mange virksomheder tror ikke, at de er i besiddelse af personfølsomme data. Det drejer sig især ofte om mindre virksomheder, hvis kundegrundlag måske er meget lokalt eller indsnævret. Fakta er dog, at langt de fleste virksomheder i Danmark har disse data. Personfølsomme data kan som udgangspunkt være svære at definere fuldstændig, og mange data kan befinde sig i en gråzone mellem det følsomme og ufølsomme. Hvis man er i tvivl, kan man som guideline bruge Datatilsynets guide til personfølsomme data som pejlemærke. De klassificerer personfølsomme data som:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Det er ikke mange virksomheder, der i realiteten kan undsige sig at være i besiddelse af - i hvert fald nogle af - ovenstående oplysninger på deres kunder.

Eksempler på personfølsomme data.

Et ganske almindeligt hverdags-scenarie indeholder flere personfølsomme data, end vi lige går og tror: Fra din fysioterapeuts liste over personer, som skal masseres i næste uge, til din seneste mail-henvendelse. Ligesom, den jobansøgning du modtog i sidste uge fra en lovende kandidat, eller den meget personlige samtale som selvsamme kandidat bookede over mail ved hans fagforening i sidste uge, indeholder det. Alle disse scenarier involverer - selvom de umiddelbart ser harmløse ud - et væld af data, som nemt kan blive misbrugt i de forkerte hænder. Får en hacker fat i din medarbejders CPR-nummer er der pludselig ikke langt fra tanke til videresalg af disse oplysninger til konkurrenter eller lignende.

Derfor er det faktisk ikke en dårlig idé, at kryptere dine e-mails. Selvom det i første omgang kan virke som noget, vi igen bliver påduttet af datatilsynet, så kan det faktisk gavne din virksomhed at kryptere på flere niveauer. Det sikrer nemlig ikke bare dine kunders og dine egne data. Det sender også et signal om, at du er en virksomhed, som man kan stole på.

Hvad kan du gøre.

De forholdsregler du skal tage, afhænger meget af den situation, lige netop din virksomhed står i. Først og fremmest skal du vurdere, hvor følsom data, du som virksomhed ligger inde med - eventuelt ved hjælp af Datatilsynets guidelines. Det mest basale, og lovmæssige krav, du skal opfylde kan løses ved hjælp af TLS kryptering (Transport Layer Security) - hvilket som minimum skal være TLS 1.2. Her er det vigtigt også at tage et kig på din mail-servers opsætning og sørge for, at denne version bruges under hele kommunikationsprocessen - ellers kan krypteringen risikere at blive nedgraderet.

Men vi oplever ofte, at TLS langt fra er nok. Der er nemlig ingen fuldstændig garanti for sikkerhed, og hvis man f.eks. sender fortrolige oplysninger eller specielle kategorier af data, så skal der tages stærkere midler i brug.

Intet er så skidt, at det ikke er godt for noget.

Datatilsynets lovkrav er her for at sikre vores alles sikkerhed. I takt med, at hackere bliver mere og mere kreative og angreb bliver mere og mere komplicerede, er vi nødt til at følge med og tage vores forholdsregler. Det nye krav om, at private virksomheder nu skal kryptere e-mails med følsomme personoplysninger på lige fod med det offentlige pr. 1. januar, er alt andet end en sur pligt. Det er en kærkommen tilføjelse i ønsket om større sikkerhed og beskyttelse af vores alles oplysninger, så vi fortsat kan færdes sikkert i den digitale verden.

Lær mere om hvordan Ecit kan hjælpe dig. Skriv til os og vi kontakter dig.