Foranstaltning:

Sikker transmission med valideret afsender, modtager, indhold


Senest opdateret 23.01.25.

Hvilke risici adresseres?

Når data transmitteres over et netværk, er der en risiko for, at data kan tilgås af uvedkommende, hvilket bl.a. kan håndteres ved at kryptere data i transmissionen (se foranstaltningen: Sikker transmission). Ved transmissionen kan der også være en risiko for, at data kommer til uvedkommendes kendskab ved, at data utilsigtet sendes til en forkert modtager. Derudover kan det være nødvendigt, at modtageren af data kan bekræfte afsenderen af data, og at data ikke er blevet ændret undervejs – også kaldet uafviselighed. Visse transmissions- og krypteringsmetoder kan håndtere flere af disse risici.

Validering af afsender, modtager og indhold er dermed en forebyggende foranstaltning, der mindsker sandsynligheden for, at data læses af uvedkommende. Samtidig kan den sikre uafviselighed og validering af afsender.

Læs mere om afdækning af risici i forskellige dele af transmissionen i skemaet i foranstaltningen 'Sikker transmission'.

Hvilke tiltag kan overvejes?

Muligheden for at validere afsender, modtager og evt. indhold forudsætter normalt, at både afsender og modtager anvender bestemte it-løsninger korrekt. Dette indebærer også, at der er implementeret organisatoriske foranstaltninger som procedurer, retningslinjer og undervisning for at sikre korrekt anvendelse af eventuelle it-løsninger.

Til transmission af data kan man eksempelvis overveje at anvende følgende løsninger, der – afhængig af, hvordan de implementeres – kan indeholde muligheder for at validere afsender, modtager og indhold:

  • Digital Post[1], som giver mulighed for at sende data til personnummer (CPR-nr.) og virksomhedsnummer (CVR-nr.). Valg af modtager kan således baseres på centralt ajourførte registre (CPR og CVR), hvilket mindsker sandsynligheden for, at data sendes til en forkert modtager i forhold til fx valg af modtager på baggrund af oplysninger i et internt kunderegister, som kan være forældede. Anvendelse af løsningen suppleres med procedurer for forsendelse, der skal sikre, at brugeren (afsender af data) vælger korrekt person- eller virksomhedsnummer. Offentlige myndigheder har i øvrigt mulighed for at etablere løsninger, der kan vise det navn eller virksomhedsnavn, der er tilknyttet det indtastede person- eller virksomhedsnummer, som en ekstra kontrol af modtager.

Løsningen sikrer fortrolighed og giver mulighed for validering af modtager og afsender, idet der anvendes dedikerede afsender- og modtagersystemer og online-postkasser. Løsningen sikrer imidlertid ikke uafviselighed, eftersom meddelelser, der bliver transmitteret i løsningen kan ændres af de systemer, som den passerer igennem – uden at modtageren kan se det.

  • En kommerciel eller ”open source” PKI-løsning (Public Key Infrastructure) med privat og offentlig kryptografisk nøgle, hvor kryptering og dekryptering kan ske hos henholdsvis afsender og modtager. Hvis kryptering og dekryptering sker på to enheder (fx computere), som hver bruger anvender, er krypteringen ”end-to-end”. Ved brug af en sådan løsning er det uden betydning, om der fx sendes til en e-mailkonto, der udbydes af en leverandør, som almindeligvis kan tilgå oplysningerne, idet leverandøren ikke kan læse beskeden, hvis den først dekrypteres på modtagerens enhed (i fx mail-klient-software). MitID Erhverv kan evt. bruges til udstedelse af certifikater.

Løsningen sikrer fortrolighed og giver mulighed for validering af modtager, afsender og uafviselighed.

  • En løsning – fx et website – hvor data kan uploades via en krypteret forbindelse. Her etableres en kryptering mellem web-serveren og brugerens computer, hvor brugeren har mulighed for at kontrollere det anvendte certifikat og bekræfte rette modtager. Man skal dog være opmærksom på, at det kan være svært for almindelige brugere som fx borgere eller kunder at validere modtagere via sådan et certifikat.

Løsningen kan sikre fortrolighed og giver mulighed for validering af modtager.

  • Oprettelse af egen online-løsning – som fx en postkasse eller et filarkiv – hvor afsender og modtager har adgang med et personligt login, og hvor transmissionen til og fra er krypteret. Løsningen inkluderer også tiltag, der skal sikre, at brugere altid tilgår løsningen via den korrekte adgang for at undgå fx phishing. Endvidere suppleres med tiltag, der øger adgangssikkerheden, fx MFA.

Løsningen sikrer fortrolighed samt validering af modtager og afsender.

  • NemSMS til transmission af enkle, korte servicebeskeder, der ikke indeholder beskyttelsesværdige oplysninger, idet NemSMS ikke sikrer krypteret transmission. NemSMS har imidlertid en indbygget sikring af korrekt modtager, eftersom modtagerens personnummer er koblet til et telefonnummer, som modtageren selv har registeret. Dette telefonnummer skal modtageren lejlighedsvis bekræfte, når de tilgår nogle offentlige selvbetjeningsløsninger (som fx borger.dk).

Løsningen sikrer ikke fortrolighed men giver mulighed for validering af modtager.

Flere af de ovenstående løsninger har også svagheder, som du også skal forholde dig til ved valg af løsning, fx:

  • Brugere kan blive udsat for phishing-angreb, der leder brugeren til en falsk webside, hvor de oplysninger, som brugeren indtaster, kan blive opsnappet, herunder adgangskoder eller oplysninger i den besked, som skal sendes fortroligt.
  • Brugeres krypterede forbindelse til en webside kan være afbrudt, uden at brugeren bemærker det, hvilket eksempelvis kan ske, når en bruger anvender et ondsindet WiFi-netværk eller et netværk, der omfatter en interception-proxy[2].

Der kan til en vis grad etableres tekniske foranstaltninger for at mindske de to ovenstående risici, men ofte vil det også afhænge af de enkelte brugeres opmærksomhed. Derfor er organisatoriske foranstaltninger som awareness, træning, retningslinjer og procedurer er essentielle værktøjer for at formindske sandsynligheden for, at svagheder ved løsningerne bliver udnyttet, så uvedkommende får adgang til data.

Tiltag angående spoofing og phishing kan i øvrigt findes i de tekniske minimumskrav for statslige myndigheder og i CFCS’s vejledning om phishing.

[1] Danmarks fællesoffentlige it-løsning til sikker digital kommunikation mellem myndigheder, borgere og virksomheder. Både løsningen og beskederne hedder ”Digital Post”.

[2] En interception-proxy afbryder en krypteret forbindelse fra internettet, og danner sin egen kryptering frem til brugerens pc. Formålet kan være at skanne datatransmissionen for malware, for at undgå malware på det interne netværk. Det kan også være for at tjekke, om medarbejdere transmitterer firmahemmeligheder ud af virksomhedens netværk.

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, der skal vise, hvornår og hvordan en datatransmission skal beskyttes. Følgende er eksempler på, hvad der bør indgå i risikovurderingen:

  • Om nødvendigheden af foranstaltningen kan mindskes eller helt bortfalde, hvis der inden afsendelse af data foretages dataminimering, pseudonymisering eller anonymisering. Vær dog opmærksom på, hvilke oplysninger, der kan udledes indirekte af en kommunikation, herunder hvem parterne er, eller hvis der bliver kommunikeret oplysninger om aftalte mødesteder som fx et misbrugscenter, en abortklinik eller en speciallæge.
  • Mængden og typen af de personoplysninger, der transmitteres, samt antallet af registrerede, der transmitteres oplysninger om, da det har en betydning for risikoen for de registreredes rettigheder ved transmissionen. Hvis risikoen er høj, så kræver det en højere grad af beskyttelse af data og validering af modtager (af hensyn til datas fortrolighed) og validering af afsender og indhold (af hensyn til datas integritet og troværdighed).
  • Om der grundet begrænsninger i datamængden i anvendte løsninger skal etableres alternativer til (nogen af) brugerne, for at undgå, at de anvender egne transmissionsløsninger, som den dataansvarlige ikke har kontrol over.
  • Overvejelser over hvilke risici, der er ved, at brugere ledes til en falsk hjemmeside, eller at en krypteret forbindelse kan være blevet afbrudt, uden at brugeren bemærker det.
  • Risici ved, at der ikke anvendes en pålidelig og/eller opdateret kilde til modtageroplysninger.
  • At visse typer af transmissioner – fx transmission via e-mail eller SMS – kan blive udsat for, at afsender udgiver sig for at være en anden (spoofing), som kan medføre, at den ene part i en kommunikation kan snydes til at lække fortrolige oplysninger.
  • At ondsindede aktører kan gøre sig selv til en del af netværket, som data transmitteres på, fx ved at opsætte sin egen Wi-Fi-router eller egen basisstation (”mobilantenne”).

Ovenstående overvejelser er relevante i en risikovurdering, der skal vise, om der ud over kryptering af transmissionen også er behov for at sikre uafviselighed og/eller validering af afsender og/eller modtager.

Læs mere om bl.a. kryptering af ”data i transit” og "end-to-end-kryptering" i denne udtalelse fra EDPB, der har baggrund i e-databeskyttelsesdirektivets artikel 6, 6a, 6b og 6c.

Bemærk

Bemærk i øvrigt, at hverken registrerede eller dataansvarlige kan give samtykke til et lavere sikkerhedsniveau for behandling af personoplysninger end det niveau, som risikovurderingen indikerer er nødvendigt. Dette gælder, selv om den registrerede selv anmoder om en bestemt kommunikationsform.