Ny afgørelse: Datatilsynet udtaler kritik af utilstrækkelig mailkryptering

Publiceret 14-10-2019
Nyhed

På baggrund af en klage har Datatilsynet vurderet, at brugen af krypteringsformen opportunistisk TLS uden yderligere kontrol i et konkret tilfælde ikke var en tilstrækkelig sikkerhedsforanstaltning.

Datatilsynet udtaler kritik af Lowell Danmark A/S (herefter Lowell) i en sag, hvor en borger har klaget over, at Lowell har sendt fortrolige oplysninger om borgeren ukrypteret over internettet.

Datatilsynet har i en tidligere afgørelse ( j.nr. 2019-31-1263 ) afgjort, at de sikkerhedsforanstaltninger, som Lowell i den konkrete sag havde foretaget på baggrund af deres risikovurdering, var passende. Brugen af opportunistisk TLS var suppleret med en kontrol af, om modtagerdomænet understøttede TLS, og det fremgik af risikovurderingen, at der i de tilfælde, hvor modtagerdomænet ikke kunne modtage TLS, blev anvendt anden en kommunikationsform end e-mail.

Forskellen mellem den aktuelle sag og den tidligere afgørelse var, at Lowell i denne sag ikke havde kunnet verificere, om modtagerdomænet kunne modtage TLS, og på trods af denne manglende verifikation afsendte e-mailen med opportunistisk indstillet TLS 1.2 - og dermed kunne Lowell ikke godtgøre, om e-mailen rent faktisk var modtaget krypteret.

Derfor finder Datatilsynet i denne sag, at Lowell ikke har kunnet påvise, at behandlingen er sket på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret adgang til personoplysninger, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.

Vil du vide mere?

Læs selve afgørelsen her.

Læs mere om kryptering her.