Datatilsynet skærper praksis: Private virksomheder bør kryptere emails

Illustration: Henning Mølsted
Efter GDPR skruer datatilsynet op for retorikken, og private virksomheder henstilles nu til at kryptere emails med følsomme personoplysninger. Det har været et krav i det offentlige siden år 2000.

Datatilsynet skærper nu sin praksis over for private virksomheders anvendelse af krypteret mail-trafik. Helt specifikt opfordrer tilsynet nu virksomhederne til at bruge kryptering, når der sendes følsomme personoplysninger via internettet - noget der har været et krav i det offentlige de sidste 18 år, men hidtil kun har haft karakter af »anbefaling«, når det gælder det private.

»Datatilsynet har imidlertid som følge af databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling siden 2007-2008 besluttet at skærpe sin praksis for så vidt angår transmission af fortrolige og følsomme personoplysninger med e-mail via internettet i den private sektor,« skriver Datatilsynet i en pressemeddelelse.

Læs også: Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud

»Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.«

For at give de private virksomheder tid til at omstille sig har Datatilsynet besluttet først at bruge det skærpede udgangspunkt i sin håndhævelse af loven fra januar 2019.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Leif Magnusson

DANID og sikker e-mail er ikke klar. Infrastrukturen er holdt sammen med gaffatape.

Version2 skulle prøve at installere Thunderbird og finde krypterede mailadresser i deres LDAP directory. Prøv at finde en krypteret mailadresse på en specifik person i Rigspolitiet.

Den eneste directory i verden hvor man skal kende alt på forhånd, før det giver nogen mening at bruge den. Udløbene krypteringsnøgler vises sammen med gyldige.

Løsningen bryder sammen hvis mere end fem personer i Danmark søger på samme tid. Løsningen spørger konstant om nøgle.

Her kan I ser hvor store verdensmestre Digtialiseringsstyrelsen er.

Leif Magnusson

Den eneste praktiske løsning (som kun virker i en PowerPoint fra Digitaliseringsstyrelsen) er sikker e-mail.

Her har Søren nok adgang til den centrale server, hvor den danske befolknings "private" nøgler er placeret. Tror argumentet var så den danske befolkning ikke smed nøglerne væk - LOL.

Hvis hver enkel virksomhed skal implementere deres egen PKI løsning, vil jeg være cryptokonsulent.

Kenn Nielsen

Her har Søren nok adgang til den centrale server, hvor den danske befolknings "private" nøgler er placeret. Tror argumentet var så den danske befolkning ikke smed nøglerne væk - LOL.


Nøjagtigt min (t)anke vedr. NemID fra start.

Prøv at kigge lidt på pgp/gpg/openpgp..
Alle best/worst/whatever practices foreskriver at man bør være mere eller mindre paranoid (meget eller lidt, men stadigvæk paranoid), med hensyn til sikkerheden omkring sin private nøgle.

Dette er hvad cyberverdenens samlede intelligens er kommet frem til dengang man ikke var så "heldig" at have NemID, hvor den private nøgle er påtvunget at ligge "et sikkert sted" - for din egen skyld, forstå's.

Underligt nok er der ikke ændret på disse pgp-anbefalinger efter NemID blev opfundet.

  • Hvorfor mon ?

K

Sidsel Jensen Blogger

Det er kun transmissions kryptering de snakker om - prøv at læse: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaer...

Det simpelthen så lavt et niveau, så alle burde kunne opfylde dette uden problemer. Der er ikke specificeret nogen krav til typen af kryptering. Alligevel så vælger Datatilsynet først at håndhæve dette per 1. januar 2019.

Hvis vi tager et kig på Google e-mail transparency report: https://transparencyreport.google.com/safer-email/overview?hl=en - så ligger de pt. på 90% i kryptering af indgående og udgående mails.

EFF launchede i Juni måned kampagnen "STARTTLS everywhere" (https://www.eff.org/deeplinks/2018/06/announcing-starttls-everywhere-sec... / https://starttls-everywhere.org/)

Med andre ord er der tale om en "total freebie" for Datatilsynet i denne udmelding. Baren er sat virkeligt virkeligt lavt.

Leif Magnusson

Det er kun transmissions kryptering de snakker om

I dokumentet skriver de

Det vil fortsat væres sådan, at du ikke må sende følsomme (og fortrolige) personoplysninger ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mail på internettet. I disse situationer skal du således anvende en sikker løsning, herunder f.eks. Digital Post eller bruge en forbindelse, der krypterer det overførte indhold under hele transporten.

Mads Bendixen

Nå men, så er det jo helt fint at den løsning skatteyderne betaler et trecifret millionbeløb for ikke virker :-)


Så firkantet kan du ikke konkludere. Der benyttes nemID infrastrukturen til at sende sikker email, præcis som du kan som privatperson.
Forskellen er at virksomheder (offentlige som private) "blot" installerer et virksomhedscertifikat i løsningen og ikke skal bøvle med certifikatopsætning i hver medarbejders email klient.

Konklusionen er nærmere: Løsningen virker, men det er bøvlet for privatpersoner.

Leif Magnusson

Konklusionen er nærmere: Løsningen virker, men det er bøvlet for privatpersoner.

Det er en lidt arrogant holdning, at blot det virker for virksomheder, så er alt i orden.

Hvis borger og virksomheder skal kommunikere, skal det virke begge veje.

Du har tydeligvis ikke prøvet at sætte det op og teste det som privatperson, som jeg beskrev?

Da DANID ikke opdaterer dokumenation, vil de færreste borger kunne sætte det op.

Hvis du har teknisk snilde og får det installeret, vil du opdage at løsningen er tæt på ubrugelig for privatpersoner.

Jeg kan ikke helt gennemskue hvorfor du forsvarer en løsning, der er ubrugelig for borgeren. Er du PR-medarbejder i Digitaliseringsstyrelsen?

Jesper Lund

Det er kun transmissions kryptering de snakker om - prøv at læse: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaer...

Det simpelthen så lavt et niveau, så alle burde kunne opfylde dette uden problemer. Der er ikke specificeret nogen krav til typen af kryptering. Alligevel så vælger Datatilsynet først at håndhæve dette per 1. januar 2019.

Så vidt jeg husker fra tidligere diskussioner med relevante personer på dette område, bl.a. i forbindelse med denne artikel om præsters kommunikation med borgerne, er kryptering på transportlaget (SMTP-TLS) ikke tilstrækkeligt til at opfylde Datatilsynets krav om kryptering af email.

Der er også det issue, at forpligtelsen til at sende krypteret email gælder for den dataansvarlige, ikke for alle mulige og umulige email-system udbydere. Så hvis SMTP-TLS hypotetisk set var tilstrækkeligt, skulle du som dataansvarlig stadig indrette dit email system, således at der ikke sendes emails indeholdende tilpas følsomme personoplysninger (efter din risikovurdering), hvis det ikke er muligt at etablere en SMTP-TLS forbindelse til modtagerens mailserver.

GDPR stiller ikke krav til hvordan den registrerede behandler sine egne personoplysninger. Hvis du skriver dit CPR-nr i en email eller Facebook besked til en offentlig myndighed, må den offentlige myndighed stadig kun svare via sikker digital post, aka det famøse e-Boks webmail system, som vi alle elsker (eller elsker at hade).

Jesper Lund
Formand, IT-Politisk Forening

Hans Nielsen

Så er problemet løst, også for firmaer.
https://tutanota.com

bruger det selv, bare lidt reklame for dem fordi de er

Frihedskæmpere

Vi ønsker at gøre kryptering mainstream ved at fjerne besværet med PGP og key-administrering.
Dig & os
Vi er et hold udviklere, der forstår privatliv som en grundlæggende menneskeret beskyttet af vor grundlov. Kampen for vor ret til privatliv er vor mission, siden vi startet med at bygge den krypterede mailtjeneste Tutanota, og denne værdi deles gennem hele vort fællesskab. Kom tilsut dig fællesskabet, og vær med og hjælpe os at bygge fremtidens internett: privat og sikkert!

  • Tutanota til erhvervslivet.
    Tutanota's rimelige business version gør virksomheder og organisationer i alle størrelser i stand til nemt at sikre deres mailkommunikation. Administrer alle dine sikre mail-konti for din virksomhed eller familie med dit eget domæne, eller anvend Tutanota's hvideliste løsning. Tilgå din krypterede mailbox via web, Android eller iOS-appen. Alle data lagres krypteret på vore egne servere i datacentre i Tyskland. Lær mere om hvordan Tutanota hjælper din virksomhed med at blive GDPR compliant
Mads Bendixen

Jeg kan ikke helt gennemskue hvorfor du forsvarer en løsning, der er ubrugelig for borgeren. Er du PR-medarbejder i Digitaliseringsstyrelsen?


Nej, men jeg er daglig bruger af det, ligeså gør tusinder af andre. Jeg bringer lidt fakta til bordet, så vi kan have en saglig diskussion.
Dine udsagn som "Infrastrukturen er holdt sammen med gaffatape." er ikke korrekt.
Er mulighederne for klienter til private utilstrækkelige? - Ja. Alene det at det kræver en "tyk" desktop email-klient er håbløst. Men infrastrukturen fungerer og bliver benyttet i vid udstrækning.

Jan Juel Nielsen

@Mads Bendixen
Et eksempel på elendig løsning: Jeg skrev til ATP på e-boks, hvor jeg vedhæftede en pdf-fil. De svarede at de ikke kunne se nogen pdf-fil. Jeg kunne egentlig fremvise en kvittering på det sendte, hvor navnet på den vedhæftede fil fremgik. Men det er jo også en pdf-fil, som de igen kan afvise at de ikke har modtaget
- tænk på konsekvenserne af det...
De modtager ikke “almindelig” e-mail, så jeg kunne ikke sende det på den måde.
Jeg opgav korrespondancen - Jeg orker simpelthen ikke at diskuterer med sådan en flok inkompetente fjolser.

Mht. at det kræver en desktop-klient, er det ikke helt korrekt.
For at benytte PKI-infrastrukturen er det jo ikke nødvendigt at man skal bruge nemID/DanID på begge sider.
Jeg har anskaffet mig et SwissSign certifikat, så jeg kan sende og modtage krypteret mail som privatperson fra en almindelig mail-klient - fra alle mine enheder.
Man oplever dog at nogle virksomheder kun vil benytte e-boks eller en eller anden obskur webformular. Man kan dog ofte finde en af deres medarbejdersignaturer, hvis man søger på cvr.nr. i den offentlige certifikatdatabase

Jan Juel Nielsen

Måske er det persondataforordningen, der har givet en øget bevidsthed
- men jeg har selv oplevet nogle positive resultater ved at signere min e-mail (som jeg iøvrigt altid gør) med min offentlige del af nøglen, hvorefter modtageren svarer med en signeret mail (jeg tror at Outlook automatisk vil signere, når den besvarer en signeret indkommen mail).
Under alle omstændigheder er det næste skridt, nemlig at sende en krypteret mail, meget nemt.
Men hvis man er privatperson kræver det (for at være nemt og rimeligt anvendeligt) selvfølgelig at man IKKE benytter nemID!
Tragikomisk - men sådan er der jo så meget der er med de offentlige IT-systemer...

Leif Magnusson

Jeg bringer lidt fakta til bordet, så vi kan have en saglig diskussion.

Fakta er du enten ikke har kigget på LDAP løsningen ellers forstår du ikke infrastrukturen.

Jeg har aldrig haft så meget lyst til at gøre noget ulovligt, blot for at demonstrere hvor tomme dine udsagn er. Rive gaffatapen af. Jeg lader den ligge. For dit forsvar er politisk motiveret, ikke fagligt og sagligt.

Leif Magnusson

Et eksempel på elendig løsning: Jeg skrev til ATP på e-boks, hvor jeg vedhæftede en pdf-fil. De svarede at de ikke kunne se nogen pdf-fil. Jeg kunne egentlig fremvise en kvittering på det sendte, hvor navnet på den vedhæftede fil fremgik.

Du fik ikke at vide at du skulle bruge Digital Post borger.dk, som alternativ. Det virker... nogle gange.

Husk Jan, der er ikke noget galt med infrastrukturen, den er lavet af verdensmestre, der er noget galt med dig :-)

Log ind eller Opret konto for at kommentere