Ny afgørelse: Klage over manglende kryptering

Publiceret 02-07-2019
Nyhed

I en konkret sag om kryptering af e-mails havde Lowell Danmark A/S foretaget en risikovurdering, hvor fremgangsmåden blev vurderet som en passende sikkerhedsforanstaltning af Datatilsynet.

Datatilsynet har behandlet en klage, hvor en borger har klaget over, at Lowell Danmark A/S (herefter Lowell) har sendt fortrolige oplysninger om borgeren ukrypteret over internettet.

Datatilsynet traf den 26. juni 2019 afgørelse i sagen. Efter Datatilsynets opfattelse var Lowells behandling af oplysningerne om borgeren sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.

Afgørelsen skal ses som et konkret begrundet eksempel på, at en dataansvarlig kan anvende en opportunistisk TLS 1.2-kryptering (kryptering på transportlaget, der kun virker, hvis modtagerens server understøtter det), når der fremsendes fortrolige oplysninger over internettet, hvis den dataansvarlige ud fra en risikovurdering korrekt har vurderet, at en sådan opsætning udgør en passende sikkerhedsforanstaltning.

I den konkrete sag havde Lowell blandt andet lagt vægt på, at det generelt kun er et fåtal af deres modtagere, der benytter sig af meget gamle e-mailklientversioner eller tjenesteudbydere, hvor en e-mail vil blive sendt ukrypteret, og at de konkret vurderer dette for de enkelte modtagere. De e-mails, sagen handler om, var i øvrigt afsendt krypteret på transportlaget til klager.

Datatilsynet havde efter det oplyste i sagen ikke grundlag for at tilsidesætte den risikovurdering Lowell havde foretaget, og lagde til grund at de tekniske og organisatoriske foranstaltninger i situationen var passende. Efter Datatilsynets opfattelse havde Lowell således ud fra en risikovurdering implementeret passende sikkerhedsmæssige foranstaltninger jf. databeskyttelsesforordningens artikel 32.

Vil du vide mere?

Du kan læse selve afgørelsen her

Har du spørgsmål til udtalelsen kan du kontakte IT-sikkerhedsspecialist og cand.jur Allan Frank på tlf. 33 19 32 54.