Transmission af personoplysninger via e-mail

Transmission af personoplysninger via e-mail

Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse, der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige – allerede før en behandling foretages – skal foretage en kortlægning af risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder.

Anvendelse af e-mail som kommunikations- og kontaktform har de senere år antaget karakter af at være de facto standarden for skriftlig kommunikation. Dette gælder i såvel den offentlige som den private sektor.

Ovennævnte har bl.a. betydet, at kommunikationsformen er under betragtelig bevågenhed fra de aktører, der ønsker at opnå uretmæssig adgang til personoplysninger. I kraft af den øgede anvendelse af e-mail som kommunikationsform – både manuelt, men også i systemer til automatiseret fremsendelse af oplysninger – er hyppigheden af hændelser, hvor e-mail fejlagtigt fremsendes til forkerte modtagere, ligeledes stigende. Ved anvendelse af ukrypteret e-mail vil sådanne hændelser potentielt kunne medføre store læk af personoplysninger til uvedkommende.

Risikoprofilen for kompromittering af en ukrypteret e-mail over et netværk, som den dataansvarlige ikke har fuld kontrol over, må derfor betegnes som værende i den høje ende af skalaen.

Både offentlige myndigheder og private virksomheder og organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.

Det er i den forbindelse Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Når en e-mail sendes over åbne netværk som fx internettet, har man som afsender eller modtager som udgangspunkt ingen kontrol over, hvilke maskiner (servere m.v.) den konkrete e-mail passerer igennem undervejs, herunder hvor i verden disse maskiner er lokeret.

Når Datatilsynet taler om at sende en e-mail sikkert over et åbent netværk, skal det forstås sådan, at den sendes på en måde, hvor indholdet i e-mailen ikke kan tilgås af uvedkommende. For at opnå det, er der som hovedregel to mulige tilgange: enten anvendes der kryptering på selve transporten af de datapakker som indeholder e-mailen, når de sendes over netværket, eller også krypteres selve indholdet af e-mailen hos afsenderen, inden den sendes over netværket. Disse to tilgange beskrives i det følgende.

Kryptering på transportlaget

Størstedelen af kommunikation over netværk, som fx internettet, foregår ved, at indholdet af kommunikationen sendes i såkaldte pakker. En pakke er en enhed, som altid følger en bestemt struktur, således at afsender- og modtagersystemet forstår, hvordan den skal læses.

Der findes anerkendte og udbredte protokoller, fx Transport Layer Security (TLS), til at kryptere indholdet af disse pakker, når de sendes over åbne netværk. TLS kan anvendes til sikker kommunikation over åbne netværk i mere generel forstand. Da afsendelse af e-mails kan betragtes som en almindelig fremsendelse af pakker, kan TLS benyttes til at tilføje et lag af sikkerhed oven på den almindelige e-mail protokol, Simple Mail Transfer Protocol (SMTP).

Hvis man som dataansvarlig anvender fx TLS, skal man sikre sig, at krypteringen er til stede når e-mailen transporteres over de åbne netværk der forekommer, fra afsenderens maskine til modtagerens mailserver. Afsenderens mailserver bør derfor opsættes således, at der gennemtvinges TLS ved fremsendelse af e-mails der indeholder fortrolige eller følsomme oplysninger, og at e-mailen ligeledes ikke afsendes, medmindre en TLS forbindelse kan garanteres. Hvis forbindelsen fra afsenderens maskine til afsenderens mailserver foregår over et åbent netværk, skal forbindelsen ved overleveringen af e-mailen til denne mailserver ligeledes sikres med TLS. Det er Datatilsynets vurdering, at det normalt ikke vil være passende sikkerhed at benytte udgåede eller kompromitterede versioner af TLS. Der skal derfor som minimum benyttes TLS version 1.2, og muligheden for at falde tilbage på lavere versioner skal fravælges ved opsætningen.

Når der anvendes TLS skal man som dataansvarlig desuden være opmærksom på, at det kun er selve transporten af e-mailen der krypteres. E-mailen vil således som udgangspunkt lagres i en ukrypteret og læselig tilstand på både afsenderes og modtagerens mailservere. Dette står i kontrast til en løsning, hvor der anvendes end-to-end kryptering, jf. næste afsnit.

End-to-end kryptering

Et alternativ (eller som en yderligere ekstra foranstaltning) til at anvende kryptering på transportlaget er såkaldt end-to-end kryptering af e-mailens indhold. Med en sådan løsning har afsenderen og modtageren hver et nøglepar bestående af en offentlig nøgle og en privat nøgle. Afsenderen anvender modtagerens offentlige nøgle til at kryptere indholdet af e-mailen i sin e-mailklient (fx Outlook eller Thunderbird), før den sendes. Modtageren anvender sin egen private nøgle til at dekryptere e-mailens indhold efter modtagelse i sin e-mailklient. Indholdet af e-mailen er på denne måde krypteret hele vejen fra afsenderens e-mail klient til modtagerens e-mail klient.

Selve kernen i problematikken omkring end-to-end kryptering af e-mails består i at få etableret infrastrukturen omkring generering og udveksling af de kommunikerende parters offentlige nøgler, og hvordan understøttelse af kryptering integreres gnidningsfrit i eksisterende systemer. Nedenfor gives tre konkrete eksempler på løsninger, som kan anvendes til at opnå end-to-end kryptering ved fremsendelse af e-mails.

PGP

Pretty Good Privacy (PGP) er et program, som blev udviklet i 1991 til kryptering og dekryptering af tekst, e-mails, filer og mapper. Programmet, der følger den såkaldte OpenPGP standard, gør det muligt for enhver gratis at generere et nøglepar bestående af en offentlig- og privat nøgle, som er tilknyttet en bestemt e-mailadresse. Den offentlige nøgle kan publiceres i et online opslag, som samtidig fungerer til udveksling af nøgler. PGP kan integreres i de mest populære e-mailklienter som Outlook og Thunderbird.

S/MIME

En anden variation af end-to-end kryptering er S/MIME. På samme måde som med PGP, har afsenderen og modtageren hver en offentlig- og privat nøgle, som anvendes som beskrevet ovenfor. Med S/MIME er parternes offentlige nøgle en del af et certifikat, udstedt af en såkaldt Certificate Authority (CA), som knytter værdien af den offentlige nøgle til en fysisk person. Når en e-mail sendes, bliver modtagerens certifikat godkendt ved hjælp af en mekanisme, der som regel er indbygget i e-mailklienten, og som er usynlig for brugeren.

S/MIME er et populært valg hos større virksomheder til at håndtere kryptering af e-mails, som sendes internt, da virksomheden selv kan udstede certifikater til medarbejderne og kontrollere den bagvedliggende mekanisme til verifikation af certifikater.

MitID

Alle som har et offentligt certifikat tilknyttet sit MitID kan bruge dette til at sende og modtage sikker e-mail. Konceptet er det samme som for S/MIME ovenfor, på nær det er MitID der udsteder og håndterer distribution af certifikater. Du kan læse mere om sikker e-mail med MitID på MitID’s hjemmeside.

Kryptering af vedhæftning

En anden tilgang til end-to-end kryptering ved fremsendelse af fx dokumenter, der indeholder fortrolige eller følsomme oplysninger er, at kryptere vedhæftningerne til en almindelig e-mail som ikke er sikret på anden vis.

Denne tilgang adskiller sig fra de ovenfor nævnte, idet afsenderen og modtageren skal anvende samme nøgle (fx et password), til at åbne de krypterede vedhæftninger. Her skal man som dataansvarlig naturligvis kunne stå inde for sikkerheden i tilgangen, både i forhold til valg af krypteringsløsning, samt måden hvorpå nøglen udveksles med modtageren.

Hvilken type skal vi bruge?

Det er, som nævnt i afsnittet om rettigheder og forpligtelser ovenfor, til enhver tid den dataansvarlige, der – med udgangspunkt i sin risikovurdering – skal vurdere, hvilket sikkerhedsniveau der er passende.

Der vil efter Datatilsynets opfattelse være typer af behandling, hvor kryptering på transportlaget er passende. Det er desuden tilsynets opfattelse, at kryptering på transportlaget bør betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.

Ligeledes vil der være typer af behandling, hvor den mere sikre end-to-end kryptering vil være passende, idet der er en høj risiko for de registrerede. Dette kunne fx være tilfældet, hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve. I så fald kan den dataansvarlige, på baggrund af en risikovurdering, beslutte, at end-to-end kryptering vil være en passende sikkerhedsforanstaltning. Grundet det løbende samarbejde med databehandleren har de to parter udvekslet S/MIME certifikater, og de kan således sende e-mails frem og tilbage til hinanden, som er end-to-end krypteret.

Når en e-mail afsendes fra den dataansvarlige, er det den dataansvarlige, der har ansvaret for den sikre fremsendelse til modtagerens mailserver. Når e-mailen leveres til modtagerens mailserver, overleveres ansvaret for behandlingen af denne e-mail som udgangspunkt til modtageren selv. En dataansvarlig kan således ikke stilles ansvarlig for, at fx en borger har valgt at oprette en gratis e-mailkonto hos en tjenesteudbyder, der potentielt anvender e-mailen til egne formål.

Som dataansvarlig skal man dog holde sig for øje, at man altid er ansvarlig for den behandling af personoplysninger der foregår på sin egen mailserver, hvad enten den bliver drevet internt i virksomheden, myndigheden e.l., eller om der er indgået en aftale med en tredjepart om håndtering af e-mails på vegne af den dataansvarlige.