Hvis to eller flere parter skal udveksle (transmittere) data sikkert, kan de vælge at anvende egne netværk, hvor de kan overvåge og beskytte datatrafikken og have fuld kontrol over, hvem der har adgang til netværket. En risikovurdering efter databeskyttelsesforordningens artikel 32 kan vise, at dette giver et tilstrækkeligt sikkerhedsniveau. Hvis parterne derimod benytter eksterne netværk, som fx internettet og telenetværk, har de ofte ikke samme kontrol og beskyttelse som ved brug af egne netværk. I sådanne tilfælde skal parterne vurdere, om datatransmissionen skal beskyttes med kryptering.
Kryptering af datatransmission kan imidlertid også anvendes til at beskytte imod ”insidertrusler” eller fysisk indbrud i egne netværk. Derfor kan kryptering – ud over fysisk sikring af netværkskabler og den førnævnte beskyttelse af netværket samt kontrol over, hvem der har adgang til det – også fungere som et ekstra ”sikkerhedslag” i egne netværk.
Sikker transmission er dermed en forebyggende foranstaltning, som kan mindske sandsynligheden for, at transmitterede data kan tilgås af uvedkommende under transmissionen.
Anvendelse af kryptering forudsætter dog ofte, at brugerne anvender bestemte it-løsninger (tekniske foranstaltninger) korrekt. Dette kræver som regel også, at organisatoriske foranstaltninger som procedurer og undervisning implementeres. Ligeledes skal krypteringen være af en type, hvor det er umuligt for uvedkommende at dekryptere data i den periode, hvor data vil kunne misbruges.
Kryptering kan beskytte imod forskellige risici i de enkelte dele af en datatransmission. Derfor er første skridt at få et overblik over datatransmissionen og derefter beslutte, hvordan hver del af transmissionen beskyttes på en tilstrækkelig måde.
Nedenfor er et eksempel på transmission og risici med fokus på sikring af datas fortrolighed. Eksemplet vedrører forsendelse af en meddelelse med e-mail, men eksemplet kan anvendes generelt, idet andre transmissioner af data kan bestå af flere delelementer, og afdækning af risici i transmission forudsætter, at man har tilstrækkeligt kendskab til alle delelementerne.
Ovenstående kan også beskrive meddelelser, der sendes som SMS, chatbesked, mv., men netværkselementer, parter, risici og muligheder for beskyttelse vil ofte være anderledes. Det er op til den dataansvarlige at undersøge hvert delelement i en given transmission.
I praksis kan det imidlertid være meget besværligt (eller tilnærmelsesvis umuligt) at håndtere risici ved beskyttelse af alle dele af transmissionen, herunder hvis:
- det ikke er teknisk muligt for den datatansvarlige at etablere en kryptering på visse dele af transmissionen, eller
- andre parter har kontrol med krypteringen i en eller flere dele af transmissionen, så den dataansvarlige ikke har kontrol over valg af krypteringsmetode og muligheden for dekryptering, eller
- det er umuligt at gennemskue/kontrollere dele af transmissionen, som foregår hos andre parter.
I disse situationer kan risici muligvis håndteres ved kryptering af data, inden de sendes igennem den del af transmissionen, der ikke kan gennemskues eller sikres.
Ansvaret for at håndtere risici i transmissionen frafalder som udgangspunkt, når de transmitterede data afleveres i modtagerens it-systemer, eksempelvis – som det er tilfældet i ovenstående eksempel – ved modtagelsen i mailserveren hos den udbyder, som modtageren har valgt at anvende. En dataansvarlig er således ikke ansvarlig for den eventuelle behandling af oplysninger, der finder sted hos en tjenesteudbyder, som en borger selv har valgt at anvende til modtagelse af meddelelser.