Folkekirken sender mails med persondata uden kryptering

12 kommentarer.  Hop til debatten
Folkekirken sender mails med persondata uden kryptering
Illustration: Peter Aaquist/Wikimedia.
Når folkekirken sender e-mails med oplysninger om dig og dit forhold til kirken, bryder det med persondataloven, fordi kirkens mailsystem ikke er krypteret.
13. november 2017 kl. 08:58
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når præster sender e-mails til borgerne, der indeholder personfølsomme data, er det på kant med loven, fordi folkekirkens mailsystem ikke er krypteret. Det skriver Kristeligt Dagblad.

Det nuværende mailsystem lever derfor ikke op til Datatilsynets krav for at sende personfølsomme oplysninger.

Grundlæggende vil informationer om tilhørsforhold til kirken, eksempelvis ved dåb, konfirmation eller begravelse, være at betegne som følsomme, da det omhandler religion.

»Alle oplysninger, hvor du kan koble et individ sammen med en religion, er følsomme oplysninger, der er omfattet af persondataloven. Jeg vil mene, at det også omfatter, at man skriver med en præst om noget med dåb, konfirmation eller begravelse, for så har man udtrykt sit religiøse tilhørsforhold,« siger Karina Lind Bertelsen, der er advokat og specialist i persondata i Advodan.

Artiklen fortsætter efter annoncen

Udveksling af information mellem borgere og myndigheder skal ske sikkert. Derfor råder hun til, at folkekirken bør etablere en form for kryptering af deres mails eller sende dem via e-boks.

12 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
9. januar 2018 kl. 16:38

Der findes et produkt på markedet, der selv tjekker om modtager har TLS. Hvis modtager ikke har TLS findes der et automatiseret fallback scenarie til kryptering via en pdf folder som krypteres med AES 256 bit.

11
15. november 2017 kl. 09:51

Det er udefineret hvilken TLS setting en vilkårlig modtager har - derfor er alm. mails potentielt åbne postkort. At en modtager er @gmail eller andre overvejende webinterfacet anvendt mailsystem, fortæller intet om hvordan en vilkårlig modtager henter.

9
14. november 2017 kl. 12:38

Der er også meta-data læk, som kan give informationer ud over det ønskede.

smtp headers; ...encrypted message received from smtp.giraffepornlovers.com, relay.skilsmisseadvokaterne.dk, mail.privatcancerhospital.dk osv.

8
14. november 2017 kl. 11:22

Skal alle landets imamer så også til at bruge e-boks?

E-boks er jo reelt det eneste som alle borgere har. Men hvordan er det lige vi tjekker vores E-boks. "Du har fået post fra Folkekirken" UPS, der blev det hele jo lige afsløret.

Og en dåb skal naturligvis holdes hemmelig! Gad vide hvordan man så kommer hen til kirken og får barnet døbt, hvor alle og enhver kan se at man går ind i kirken.

Det med hvad der er personfølsomme oplysninger, er nok noget som vi skal til at diskutere. Specielt i forhold til at den danske stat reelt altid har adgang til disse oplysninger, og forfølgelser rundt omkring i verden, som regel udføres af stater, eller med staternes vidende.

7
14. november 2017 kl. 10:29

Så sent som i går havde jeg samtale med en bankmand, der i forbindelse med at jeg skulle oprettes som kunde for at få adgang til nogen konti, sagde at jeg "bare" kunne sende et dokument til dem med min underskrift, inklusive CPR-nr og alt muligt. Forklarede tålmodigt at det altså ikke er i trit med lovgivningen.. men det sker igen og igen.. Ingen behandler CPR numre som hemmelige, så måske bør vi droppe den floskel og bruge dem som identifikation - og i stedet bruge NemID som autentifikation.

6
14. november 2017 kl. 08:41

Jeg er medlem af et politisk parti. Politisk tilhørsforhold er nøjagtig så følsom en oplysning, som religiøst tilhørsforhold. Skal generalforsamlings-indkaldelsen så også sendes krypteret for ikke at bryde persondataloven? Læg mærke til at Kr.Dgbl. sidestiller kommunikation om en dåbsaftale med personfølsomme oplysninger. Der må være en nedre grænse og den grænse må ligge væsentligt højere end en dåbsaftale.

5
14. november 2017 kl. 08:00

Jeg skrev om hvorvidt linjen eller mail, skulle være krypteret (TLS). Kunne øvrigt være interessant at høre hvorfor du ikke mener at Office 365 kan bruges i til personfølsomme data i forhold til GDPR (ikke Gmail, den er ikke klar endnu). Hvis naturligvis, det er noget du ved noget om?

3
13. november 2017 kl. 15:53

Skal mailens indhold være krypteret, eller skal kommunikationen mellem mailbokse være det? Mit gæt vil være, og det eneste fornuftige, er at det er kommunikationen mellem mailbokse der er tale om. Og bruger man fx gmail, office 365 m.m.f. kan der etableres TLS forbindelse mellem mailbokse, hvis der ikke allerede er det fx i webinterface, og så er den ged barberet.

2
13. november 2017 kl. 15:26

til at starte med kunne man åbne op for 2-vejs kommunikation i e-boks. det kører jo https fra enhed til server. derudover vil det også være lettere for borgeren at sende noget til stat/kommune i stedet for nu hvor man skal udskrive og så sende en underskrevet attest (som det mest simple) med snailmail. hvorfor ikke mulighed for upload den vej igennem? så er ens sag jo også samlet et sted. ren win-win for både stat/kommune og borger.

1
13. november 2017 kl. 10:57

Hvor meget jeg end værdsætter sikker email, med s/mime, pki og det hele, så er det aldrig lykkes at få almindelige mennesker til at anvende det. Og det bliver nok ikke Folkekirken der kommer til at gøre det.

Sikker post via borger.dk var måske en mulighed. Det er vist nogenlunde til at holde ud at bruge, men det bliver op af bakke for en præst at forklare sognebørnene hvorfor de ikke bare kan sende en email.