Hvilken krypteringsgrad er tilstrækkelig?

Publiceret 14-04-2021

Man skal passe på folks oplysninger - også når man udveksler dem over nettet. Det betyder bl.a., at man ved kryptering på transportlaget (TLS) skal bruge version 1.2 eller højere. I en ny afgørelse udtaler Datatilsynet kritik af Rigspolitiet for brug af TLS version 1.0.

Datatilsynets har den opfattelse, at formularer og webløsninger til håndtering af personoplysninger stiller krav til sikkerheden, særligt at man som dataansvarlig sikrer, at personoplysninger ikke kommer til uvedkommendes kendskab.

Oplysninger af beskyttelsesværdig karakter, herunder oplysninger om personnummer, skal derfor sikres på en måde, hvor indholdet ikke kan tilgås af uvedkommende. Dette kan ske ved kryptering på transportlaget (TLS) i version 1.2 eller derover. Det er endvidere Datatilsynets opfattelse, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.

Kritik af politiet i egendriftssag

Datatilsynet har af egen drift undersøgt Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelser og udtaler kritik af, at løsningen på daværende tidspunkt kun understøttede TLS version 1.0. Læs afgørelsen her.

Video om kryptering og TLS

I den korte film herunder giver Datatilsynets jurist og it-sikkerhedsspecialist Allan Frank en simpel forklaring af, hvad kryptering er, og hvorfor man skal bruge TLS version 1.2 eller højere.

Vil du vide mere?

Læs mere om transmission af personoplysninger via e-mail.

Læs en populær forklaring af TLS på Wikipedia.

Spørgsmål fra pressen kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.