Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Transmission af personoplysninger over internettet

Af persondatalovens § 41, stk. 3, fremgår, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det fremgår af lovforslagets bemærkninger til denne bestemmelse, at iværksættelse af de fornødne sikkerhedsforanstaltninger særligt er påkrævet, hvis behandlingen omfatter fremsendelse af oplysninger i et net.

Efter Datatilsynets opfattelse bør der ved transmission af oplysninger om personnumre over det åbne Internet som minimum foretages kryptering. Der bør også foretages kryptering, hvis andre oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om økonomiske forhold o.l.), transmitteres.

Hvis der er tale om følsomme oplysninger omfattet af persondatalovens § 7 og § 8 (f.eks. oplysninger om fagforeningsmæssige tilhørsforhold, helbredsforhold eller strafbare forhold), skal der som minimum anvendes en stærk kryptering, baseret på en anerkendt algoritme.

Det er således Datatilsynets opfattelse, at persondatalovens § 41, stk. 3, medfører, at der som udgangspunkt må stilles samme krav til datasikkerheden i private virksomheder m.v. som i den offentlige forvaltning.

Ifølge sikkerhedsbekendtgørelsen (Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) må der kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.

I Datatilsynets sikkerhedsvejledning (vejledning nr. 37 af 2. april 2001) er det nærmere angivet, hvorledes sikkerhedsbekendtgørelsens krav vil kunne opfyldes. Det fremgår heraf, at

  • Ved tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net.

Datatilsynet finder, at det normalt vil øge sikkerheden at etablere en firewall, som løbende kontrolleres og om nødvendigt ajourføres. Men ofte vil det være nødvendigt med yderligere sikring. Eksempelvis vil etablering af hjemmesider (web-applikationer) eller web-services normalt kræve, at også disse sikres og løbende kontrolleres for sårbarheder.

  • For transmission af personoplysninger over åbne net (f.eks. Internet) gælder konkret nedenstående minimumskrav om sikkerhedsforanstaltninger:

Ved transmission af oplysninger over det åbne Internet er der generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for.

Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger.

Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme.

Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder.

VPN-forbindelser kan bruges til at sikre både fortrolighed og autenticitet, idet forbindelsen kan være krypteret og samtidig kræve autentificering ved brug af f.eks. et certifikat. At en forbindelse betegnes som VPN er dog ikke i sig selv en garanti for tilstrækkelig kryptering eller autentificering.

I forbindelse med vurdering af planerne for elektronisk borgerservice i Københavns Kommune har Datatilsynet besvaret en række spørgsmål. Der er derved udstukket vejledende retningslinier for graden af sikkerhed i identifikationen af en borger i forbindelse med kommunikation af forskellige typer af personoplysninger.

Læs Datatilsynets vejledende retningslinier.