Foranstaltning:

Sikker transmission


Senest opdateret 23.01.25.

Hvilke risici adresseres?

Hvis to eller flere parter skal udveksle (transmittere) data sikkert, kan de vælge at anvende egne netværk, hvor de kan overvåge og beskytte datatrafikken og have fuld kontrol over, hvem der har adgang til netværket. En risikovurdering efter databeskyttelsesforordningens artikel 32 kan vise, at dette giver et tilstrækkeligt sikkerhedsniveau. Hvis parterne derimod benytter eksterne netværk, som fx internettet og telenetværk, har de ofte ikke samme kontrol og beskyttelse som ved brug af egne netværk. I sådanne tilfælde skal parterne vurdere, om datatransmissionen skal beskyttes med kryptering.

Kryptering af datatransmission kan imidlertid også anvendes til at beskytte imod ”insidertrusler” eller fysisk indbrud i egne netværk. Derfor kan kryptering – ud over fysisk sikring af netværkskabler og den førnævnte beskyttelse af netværket samt kontrol over, hvem der har adgang til det – også fungere som et ekstra ”sikkerhedslag” i egne netværk.

Sikker transmission er dermed en forebyggende foranstaltning, som kan mindske sandsynligheden for, at transmitterede data kan tilgås af uvedkommende under transmissionen.

Anvendelse af kryptering forudsætter dog ofte, at brugerne anvender bestemte it-løsninger (tekniske foranstaltninger) korrekt. Dette kræver som regel også, at organisatoriske foranstaltninger som procedurer og undervisning implementeres.  Ligeledes skal krypteringen være af en type, hvor det er umuligt for uvedkommende at dekryptere data i den periode, hvor data vil kunne misbruges.

Kryptering kan beskytte imod forskellige risici i de enkelte dele af en datatransmission. Derfor er første skridt at få et overblik over datatransmissionen og derefter beslutte, hvordan hver del af transmissionen beskyttes på en tilstrækkelig måde.

Nedenfor er et eksempel på transmission og risici med fokus på sikring af datas fortrolighed. Eksemplet vedrører forsendelse af en meddelelse med e-mail, men eksemplet kan anvendes generelt, idet andre transmissioner af data kan bestå af flere delelementer, og afdækning af risici i transmission forudsætter, at man har tilstrækkeligt kendskab til alle delelementerne.


Ovenstående kan også beskrive meddelelser, der sendes som SMS, chatbesked, mv., men netværkselementer, parter, risici og muligheder for beskyttelse vil ofte være anderledes. Det er op til den dataansvarlige at undersøge hvert delelement i en given transmission.

I praksis kan det imidlertid være meget besværligt (eller tilnærmelsesvis umuligt) at håndtere risici ved beskyttelse af alle dele af transmissionen, herunder hvis:

  • det ikke er teknisk muligt for den datatansvarlige at etablere en kryptering på visse dele af transmissionen, eller
  • andre parter har kontrol med krypteringen i en eller flere dele af transmissionen, så den dataansvarlige ikke har kontrol over valg af krypteringsmetode og muligheden for dekryptering, eller
  • det er umuligt at gennemskue/kontrollere dele af transmissionen, som foregår hos andre parter.

I disse situationer kan risici muligvis håndteres ved kryptering af data, inden de sendes igennem den del af transmissionen, der ikke kan gennemskues eller sikres.

Ansvaret for at håndtere risici i transmissionen frafalder som udgangspunkt, når de transmitterede data afleveres i modtagerens it-systemer, eksempelvis – som det er tilfældet i ovenstående eksempel – ved modtagelsen i mailserveren hos den udbyder, som modtageren har valgt at anvende. En dataansvarlig er således ikke ansvarlig for den eventuelle behandling af oplysninger, der finder sted hos en tjenesteudbyder, som en borger selv har valgt at anvende til modtagelse af meddelelser.

Hvilke tiltag kan overvejes?

Følgende tiltag kan overvejes – og i flere tilfælde kombineres – for at øge sikkerheden, fx fordi tiltagene resulterer i en dobbelt kryptering i visse dele af transmissionen, eller fordi nogle krypteringsmetoder dækker forskelligt. Eksempelvis vil en e-mails afsender- og modtageradresse være krypteret, hvis e-mailen er sendt i en krypteret tunnel, mens det ikke gør sig gældende, hvis det kun er indholdet eller en vedhæftet fil i e-mailen, der er krypteret, og viden om hvem der kommunikerer med hinanden vil i visse tilfælde være en fortrolig information. Man kan derfor overveje:

  • At etablere en krypteret tunnel mellem to enheder (fx to mail-servere), som beskytter datas fortrolighed i transmission mellem de to enheder, men ikke enhederne eller andre steder i den samlede transmissionsvej.
  • At sikre, at krypteringen, der anvendes, er korrekt sat op og tilstrækkelig stærk – læs nærmere om dette i CFCS's vejledning om sikker brug af Transport Layer Security (TLS).
  • At sørge for, at der altid er nogen, som er ansvarlige for at opgradere og vedligeholde krypteringsmetoden, hvis der opdages svagheder i krypteringsmetoden, eller ny computerteknologi (som kvantecomputere) gør det nødvendigt.
  • At der generelt anvendes en krypteret tunnel, når modtagersystemet accepterer dette (”opportunistic encryption”), hvilket giver en forøget sikkerhed, men imidlertid ikke altid sikrer fortrolighed, når det er nødvendigt.
  • At anvende en påtvunget krypteret tunnel (”forced encryption”) ved afsendelse af meddelelser. Det medfører, at meddelelser ikke bliver afsendt, med mindre det er muligt at etablere en tilstrækkelig stærk kryptering i kommunikationen med modtagersystemet.
  • Altid at anvende krypteret tunnel kombineret med validering af afsender/modtager ved kommunikation med samarbejdspartnere og it-leverandører.
  • At bruge den samme leverandør som de parter, man ofte kommunikerer med, så udveksling af data sker via et it-miljø, hvor sikkerhedsniveauet er fastlagt i databehandleraftaler.
  • At oplysninger vedhæftes som en krypteret fil, hvor det samtidig sikres, at:
    • Der anvendes en tilstrækkelig stærk kryptering.
    • Det ikke er muligt for brugere at vælge en svag adgangskode til dekryptering af filen, fordi der er minimumskrav til længde, kompleksitet, mv., eller ved at anvende autogenerering af tilstrækkeligt sikre adgangskoder, der tager højde for mulighederne for at gætte sig til koden, herunder ved uvedkommendes eventuelle brug af brute-force mv.
    • Minimering af muligheden for kompromittering af adgangskoder ved at koderne ikke genanvendes.
    • Både beskeden og kodens modtagerpunkt (fx e-mailadresse/telefonnummer) er valideret som tilhørende den korrekte modtager.
    • Koden sendes ad en kanal, der ikke er udsat for samme angreb/sårbarheder, som den kanal filen sendes ad – eksempelvis sendes filen med e-mail og koden gives telefonisk.
    • Det er rette modtager af koden, der eventuelt kommunikeres med via telefonen, og ikke en uvedkommende person – som kan være en person, der uretmæssigt er kommet i besiddelse af den krypterede fil (som koden kan dekryptere) - herunder fx ved at kontakte den korrekte modtager på et telefonnummer, som i forvejen er kendt af afsenderen.
  • At anvende krypteret SMS, se fx:
  • At databehandleraftaler med leverandører, der indgår i datatransmissionen, inkluderer krav til, hvordan data skal beskyttes hos leverandøren, og hvordan de skal sendes videre til næste led i transmissionen. Se bilag C i skabelon for databehandleraftale.
  • At der altid opbevares en kopi af de sendte data (eller en delmængde) i en afgrænset periode, hvis der skulle ske et brud på datas fortrolighed i forbindelse med transmissionen. Herved sikres det, at man ved, hvilke fysiske personer, der evt. er blevet berørt af et sikkerhedsbrud, så disse kan underrettes, hvis det vurderes nødvendigt.
  • Om procedurer og awareness-tiltag sikrer, at den dataansvarlige ikke opfordrer andre til at sende data med en mere usikker transmissionsmetode, end den dataansvarlige selv ville vælge ud fra en risikovurdering. Læs mere her: Myndigheders indsamling af oplysninger fra borgere.
  • Om procedurer, awareness-tiltag og om muligt tekniske løsninger sikrer, at den dataansvarlige ikke ved en fejl oplyser et forkert kontaktpunkt til en borger, således at man foranlediger en forsendelse til forkert modtager.

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, der skal vise, hvornår og hvordan en datatransmission skal beskyttes. Nedenfor er nogle eksempler på forhold, der bør indgå i risikovurderingen:

  • Om nødvendigheden af foranstaltningen kan mindskes eller helt bortfalde, hvis der inden afsendelse af data foretages dataminimering, pseudonymisering eller anonymisering. Vær dog opmærksom på, hvilke oplysninger, der kan udledes indirekte af en kommunikation, herunder hvem parterne er, eller hvis der bliver kommunikeret oplysninger om aftalte mødesteder som fx et misbrugscenter, en abortklinik eller en speciallæge.
  • Om den enkelte medarbejders stillingtagen til forsendelsesmetode ved hver forsendelse er så besværlig (eller umulig), at det øger sandsynligheden for fejl ved valg af metode i en sådan grad, at det kan være nødvendigt at bruge en fast metode med høj sikkerhed ved alle forsendelser, selv om det rent sikkerhedsmæssigt ikke altid er nødvendigt. På den måde skal medarbejderne kun tage stilling til noget, hvis den gængse forsendelsesmetode af en eller anden grund ikke kan anvendes.
  • Mængden og typen af personoplysninger, der transmitteres, samt antallet af registrerede, der transmitteres oplysninger om, som kan øge konsekvensen for de registrerede ved brud på persondatasikkerheden. Det har dermed betydning for den risiko, som transmissionen udgør for de registreredes rettigheder. Hvis risikoen er høj, så kræver det en højere grad af beskyttelse af data.

For statslige myndigheder findes der særlige krav til kryptering af kommunikation med mail-protokoller og ved krypteret forbindelse til myndighedens internetvendte tjenester. Se mere her: De tekniske minimumskrav for statslige myndigheder.                          

Denne udtalelse fra EDPB omtaler bl.a. kryptering af ”data i transit” ud fra et stigende trusselsniveau. Det har baggrund i e-databeskyttelsesdirektivets artikel 6, 6a, 6b og 6c.

Bemærk

Bemærk i øvrigt, at hverken registrerede eller dataansvarlige kan give samtykke til et lavere sikkerhedsniveau for behandling af personoplysninger end det niveau, som risikovurderingen indikerer er nødvendigt. Dette gælder, selv om den registrerede selv anmoder om en bestemt kommunikationsform.

Det er på nuværende tidspunkt Datatilsynets vurdering, at det som udgangspunkt vil være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet, der som minimum skal være TLS 1.2.