Gæstebloggen

Kryptering af emails: Krav om end-to-end kryptering begrænses

Datatilsynet har nu offentliggjort en supplerende udtalelse til den tidligere udmelding om kryptering af emails i den private sektor.

Supplementet er indarbejdet i vejledningen om, hvornår og hvordan man som dataansvarlig og databehandler skal kryptere emails.

Den samlede beskrivelse omfatter både kryptering i den private sektor og i den offentlige sektor. Læs vejledningen her.

Den nye praksis for den private sektor finder anvendelse fra 1. januar 2019, mens der ikke er nogen ændring til praksis vedrørende den offentlige sektor.

Michael Hopp er advokat, partner i Plesner Advokatpartnerselskab. Illustration: Plesner Advokatpartnerselskab

Risikobaseret tilgang

Helt overordnet skal man huske, at spørgsmålet om kryptering af emails blot er en del af opfyldelse af kravet i art. 32 om 'passende sikkerhedsforanstaltninger' – hér i forbindelse med, at følsomme eller fortrolige persondata sendes med email.

Hvad der i medfør af art. 32 er passende sikkerhedsforanstaltninger skal fastlægges på baggrund af en samlet vurdering af 'det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål', set over for 'risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder'.

Dette kan ved en første læsning virke meget teoretisk, men dækker blot over, at man skal starte med at fastlægge risikoen (set som produktet af sandsynlighed og virkning) for de berørte personers ret til beskyttelse af persondata om dem, f.eks. hvis der sker hacking af en email, som indeholder persondata.

Det vil hér f.eks. være klart, at risikoen ved hackingen er større for personen, hvis emailen indeholder følsomme persondata, end hvis den blot indeholder helt simple, almindelige persondata.

Personens risiko

Det er vigtigt at være opmærksom på, at når man arbejder med sikkerhed under art. 32, så ser man på personens risiko – ikke på den dataansvarliges eller databehandlerens risiko.

Risikoen skal man holde op mod det tekniske niveau, de med sikkerhedsforanstaltningerne forbundne omkostninger, og behandlingens øvrige omstændigheder.

Hvad der til enhver tid er passende sikkerhedsforanstaltninger vil derfor bl.a. flytte sig i takt med den teknologiske udvikling, og omkostningerne til implementering af sikkerhedsforanstaltningerne.

Den samlede vurdering fører dermed den dataansvarlige eller databehandleren til de konkrete tiltag/sikkerhedsforanstaltninger, som man skal implementere for at leve op til art. 32.

Man kan læse meget mere om datasikkerhed i vejledningen om 'Behandlingssikkerhed og Databeskyttelse gennem design og standardindstillinger' (PDF), som findes på Datatilsynets hjemmeside. Her kan man også læse vejledningen om 'Risikovurdering'(PDF).

Hvornår skal man bruge kryptereret email i den private sektor?

Datatilsynet har i sin udmelding om kryptering af email i den private sektor sat skønnet i den risikobaserede tilgang lidt under regel, derved at man har anlagt det generelle synspunkt, at emails som indeholder følsomme persondata samt fortrolige persondata, skal sendes krypteret.

Følsomme persondata er defineret i art. 9 i persondataforordningen, og dækker oplysninger om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data (se særlig definition)
  • Biometriske data med henblik på entydig identifikation (se særlig definition)
  • Helbredsoplysninger (se særlig definition)
  • Seksuelle forhold eller seksuel orientering.

Fortrolige persondata er ikke defineret i persondataforordningen, men omfatter for det første oplysninger om strafbare forhold – altså oplysninger omfattet af artikel 10 i databeskyttelsesforordningen og § 8 i databeskyttelsesloven. Der skal anlægges en bred fortolkning begrebet strafbare forhold.

Fortrolige persondata omfatter også oplysninger om CPR-nummer – se § 11 i databeskyttelsesloven.

Endvidere omfatter fortrolige persondata andre oplysninger, som efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27.

Almindelige, ikke-følsomme persondata vil i visse situationer derfor være fortrolige.

Det vil i hvert fald gælde de yderligere oplysninger, som var omfattet af den gamle § 8 i persondataloven, altså bl.a. oplysninger om væsentlige sociale problemer og bortvisningsgrundlag.

Fortrolige oplysninger vil efter Datatilsynets opfattelse derfor også kunne omfatte - efter omstændighederne - oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold.

Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Fortrolige persondata vil endelig også normalt omfatte persondata, som ved særlig regulering (særlov mv.) er gjort fortrolige.

Hvordan skal man kryptere?

Datatilsynet meddelte i juli 2018, at det fremadrettet ville være deres opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Det blev på daværende tidspunkt ikke præciseret, hvilken form for kryptering der ville blive anset for nødvendig eller tilstrækkelig; men den efterfølgende medieomtale efterlod det indtryk, at der skulle ske 'end-to-end' kryptering, hvilket gav anledning til nogen bekymring blandt virksomheder - særligt de virksomheder, der har omfattende kommunikation med privatpersoner, da det er et fåtal af privatpersoner, der er i stand til at modtage krypterede mails.

Datatilsynet præciserer nu, at 'end-to-end' kryptering må anses for passende i særlige tilfælde - f.eks. ved fremsendelse af større mængder følsomme eller fortrolige oplysninger om et større antal datasubjekter, men at kryptering i transportlaget som udgangspunkt vil være tilstrækkeligt i mange tilfælde.

Ud fra en praktisk/administrativ synsvinkel er det en god nyhed, da end-to-end kryptering nok som udgangspunkt giver en højere sikkerhed; men omvendt også er mere krævende at implementere og vedligeholde, og derudover indebærer visse forretningsmæssige risici - ud over at det som nævnt kun er et fåtal af privatpersoner, der er i stand til at modtage krypterede mails.

Nøglearkiv

End-to-end kryptering kræver udveksling af nøgler mellem parterne og medfører dermed besvær til denne udveksling og senere administration af nøgler.

Anvendes personlige nøgler kan der opstå afhængighed af enkeltpersoner (da kun disse som udgangspunkt har kendskab til nøglen).

Dette kan selvfølgelig imødegås ved etablering af et internt 'nøglearkiv', hvor nøgleholderne er forpligtet til at deponere en kopi af koden - ganske som det på it-området har været praksis at deponere kopi af administrator-passwords.

Denne løsning er imidlertid ikke uden udfordringer, da man jo bliver nødt til at overveje, hvordan man kan sikre, at der ikke er nogen, der får uautoriseret adgang til den deponerede nøgle, ligesom der er risiko for, at nøgleholderen glemmer at opdatere det deponerede kodeord, når kodeordet skiftes.

Et alternativ kunne være fælles nøgler, som kendes at et antal personer. Denne løsning er dog ca. lige så (u)hensigtsmæssig som fælles passwords.

Det kræver, at koden skiftes, hver gang en person udtræder af gruppen, der må kende nøglen og at alle øvrige personer i gruppen informeres om den nye nøgle, ligesom udskiftning af kode - ved brug af symmetrisk kryptering - vil kræve koordinering med modparten.

Krav bør kun gælde i særlige tilfælde

Det giver derfor god mening, at kravet om end-to-end kryptering begrænses til situationer, hvor der udveksles større mængder følsomme eller fortrolige data.

For virksomheder, der gør dette lejlighedsvis, vil byrden nok være til at overkomme, de få gange, det bliver relevant, og for virksomheder, der har behovet regelmæssigt, vil der som udgangspunkt under alle omstændigheder være behov for formaliserede processer, og det vil derfor relativt set være mindre belastende for disse virksomheder at etablere et setup til sikker håndtering af nøgler.

For øvrige meddelelser, som 'kun' kræver kryptering i transportlaget præciserer Datatilsynet, at det må være modtagerens eget ansvar, såfremt denne vælger at bruge en usikker mailservice, og at afsenderen som udgangspunkt vil have gjort tilstrækkeligt ved at søge at kryptere meddelelsen.

Det er positivt, at vi nu har fået denne præcisering.

Som Datatilsynet imidlertid også anfører, er og bliver det den dataansvarliges og databehandlerens ansvar at vurdere, hvad der er 'passende sikkerhedsforanstaltninger', og det er derfor vigtigt, at man ikke blindt læner sig op ad vejledningen, men stadig forholder sig kritisk til den konkrete situation.

Man skal løbende forholde sig til den teknologiske udvikling og udviklingen i trusselsbilledet, da dette kan ændre på, hvad der i fremtiden vil være 'passende sikkerhed'.

Kommentarer (16)
Flemming Jacobsen

Glimrende indlæg.

Dog ligner det (for mig) at diskussionen under "Nøglearkiv" overskriften kun forholder sig til symmetrisk kryptering (hvor afsender og modtager anvender samme nøgle). Langt hovedparten af de skitserede problemstillinger løses i det øjeblik der anvendes public key kryptering (hvor afsenderen kun skal besidde en offentligt kendt nøgle for at kunne kryptere sikkert til modtageren).
Public key kryptering er (blandt andet) implementeret i PGP og S/MIME. Ingen af dem ville være brugbare for min far, men PGP ville være yderst brugbar for de teknisk kyndig brugere. Så mangler vi bare de sidste 95% af brugerne :-)

Christian Schmidt

Jeg gætter på, at hovedparten af al e-mail allerede er krypteret i transit. Det er nok de færreste e-mailservere, der ikke har STARTTLS aktiveret. Så i praksis er kravet let at efterleve, men man må regne med, at der vil være et lille antal modtagere, man ikke længere kan sende e-mail til.

For at efterleve de nye regler, skal man som afsender konfigurere sin udgående postserver til ikke at aflevere mail, hvis der ikke kan etableres en krypteret forbindelse til modtagerens indgående postserver via STARTTLS med et acceptabelt cipher. Det er som regel let nok at sætte op. Det udelukker dog brug af en tjeneste som Amazon SES der mig bekendt ikke har en sådan indstillingsmulighed.

Bjarne Nielsen

Fra artiklen (min fremhævelse):

For øvrige meddelelser, som 'kun' kræver kryptering i transportlaget præciserer Datatilsynet, at det må være modtagerens eget ansvar, såfremt denne vælger at bruge en usikker mailservice, og at afsenderen som udgangspunkt vil have gjort tilstrækkeligt ved at søge at kryptere meddelelsen.

Så firkantet kan det vel ikke stilles op. Afsender er den, som kender indholdet bedst, og derfor må der vel pålægge et ikke-trivielt ansvar på afsenderen for, at modtageren har forstået den fulde konsekvens af at bruge en usikker mailservice.

Med en professionel afsender og en privat modtager så er vi også i den situation, at afsenderen har - eller har adgang til - indsigt i de mere tekniske aspekter, som betydningen af manglende end-to-end kryptering, men dette ikke er noget, som kan påregnes for modtager.

Derfor bør der påhvile et særligt ansvar for at gøre sig overvejelser om betydningen af og konsekvenser for modtagere, hvis de af uvidenhed eller andre grunde måtte vælge en usikker mailservice - og under omstændigheder derfor helt fravælge at tilbyde det som mulighed, selvom modtagerne måtte ønske det.

Det kan ikke være et carte blanche.

Flemming Jacobsen

Det kan umuligt være afsenders ansvar at vurdere alle de mailtjenester brugerne kan anvende. Det vil give et helt urimeligt stort ansvar for at vurdere en risiko der reelt ikke er information nok til at vurdere for ikke-kunder.
Hvis brugeren ønsker en sikker (bredt defineret) mailplatform, og ikke har teknisk indsigt til at vurdere udbudet, så må brugeren søge oplysninger hos eksperter - lige som andre forbrugere inddrager eksperter i valget af f.eks. ny bil.

Povl H. Pedersen

Jeg har set statistik for vores domæne.
Det ser ud til, at kun omkring 46% af indgående mails bruger TLS (heraf 2% < TLS1.2), men 97.5% af udgående (med 1.5% på TLS 1.0).

Jeg ved ikke om udgående uden TLS er leveringsfejl, maillister til små mailservere, mails til Asien eller andre steder med forbud mod hemmeligholdelse.

Men jeg tør godt slå det til generelt og håndtere de domæner uden manuelt.

Men jeg vil tro at indgående uden TLS er malware og lignende, som sender direkte fra botnets. Så her vil det være en god ide.

Artiklen forholder sig ikke til det specifikke problem der er nævnt hos datatilsynet omkring risikoen for at sende til forkerte modtagere. Her vil en nøgleudveksling være med til at sikre at der er etableret et tillidsforhold inden mail kan sendes.

Office 365 med kryptering til whatever forkert mailadresse der angives løser ikke det problem.

Men datatilsynet ved vel godt, at netop nøgleudveksling er svært.

Til store datamængder, så kan en zip fil med langt password også være et alternativ til en S/MIME mail.

Jeg kan se, at google i enterprise løsninger kan lave kryptering/dekryptering af S/MIME i skyen. Det løser lidt af issues med personafhængighed.

Ellers er løsningen en fælles postkasse, hvor flere personer har certifikat installeret uden at det er eksportable. Det er sådan det offentlige kører, go så fordeler de mails internt fra denne.

Christian Nobel

.. hvis man her i landet havde indført en rigtig digital signatur, så ville det være ligetil.

Men nej Digitaliseringsforstyrrelsen og IT analfabetiske politikere synes hellere at man skulle sætte udviklingen 30 år tilbage med en håbløs det-skal-være-så-nemt konstruktion.

Henrik Rose

Når IT sikkerhedseksperter redegør for hvordan hacker anvender automatiseret angreb med BOTs, der scanner nettet for usikkerheder, er der vel tale om HVORNÅR og ikke et HVIS, der kommer et angreb.

Der er udviklet BOTs, der indsamler oplysninger, uden at en person behøver at betjene den angribne Computer.

Så en risikovurdering er vel overflødig. Man bør gå direkte til en Best Practice, som bør være en standard som myndighederne eller organisationer sætter. Disse skal løbende justeres.

Det kan måske begrundes juridisk jf. GDPR, at det er den dataansvarlige, der skal foretage risikovurderingen. Men der skal da være gode grunde til ikke at anvendes Best Practice indenfor sikkerhed. Der bør indføres standard der dette. Det bør være en checkliste, der løbende evalueres.

Jan Juel Nielsen

Man kan jo ikke vide hvilken af ens email-adresser (man kan jo sagtens have mange forskellige) en tilfældig organisation vælger til at sende en mail med følsomme persondata til!
Altså kan det kun være afsenders ansvar at sende sikkert. 98% af DKs befolkning har jo ingen mulighed for vurdere om mailudbyderens servere er korrekt indstillet.
Hvis ikke det kan lade sig gøre, må man finde en anden metode.

Argumentationen for at undgå end-to-end kryptering ved at påstå "at man skal have et nøglearkiv" er da også noget vrøvl. Sagsakterne bør der ikke lagres på en email-server. Alle krypterede emails afkrypteres selvfølgelig ved modtagelse og arkiveres internt i sagsarkivet. Man behøver jo ikke at benytte samme krypteringsnøgle i et eventuelt sagsforløb - det er blot modtagerens nøgle er skal være gennemgående.

Det må være et krav at formen på en henvendelse indeholdende personfølsomme underlægges modtagerens eventuelle krav om end-to-en kryptering

Martin Storgaard Dieu

Hvornår er det relevant at sende

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data (se særlig definition)
  • Biometriske data med henblik på entydig identifikation (se særlig definition)
  • Helbredsoplysninger (se særlig definition)
  • Seksuelle forhold eller seksuel orientering
  • Oplysninger omfattet af artikel 10 i databeskyttelsesforordningen og § 8 i databeskyttelsesloven
  • Oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold
  • Oplysninger om interne familieforhold
  • CPR-nummer
  • Oplysninger om væsentlige sociale problemer og bortvisningsgrundlag
  • Persondata, som ved særlig regulering (særlov mv.) er gjort fortrolige

i en e-mail? Vil man ikke i alle situationer kunne sende en e-mail, hvorpå der står noget ala:


Kære [navn].

Der er nyt indhold tilgængelig for dig. Log ind på [tjeneste] for at se dette.

Med venlig hilsen
[tjeneste]


Så har man mulighed for at logge et centralt sted hvad, hvornår, hvem, hvor mange gange og evt. hvorfor noget indhold er set. Hvornår er dette ikke en mulighed?

Torben Jensen

Disse oplysniger kan være relevant når du kommunikerer med bank eller forsikringsselskab.
Jeg tror dog flere banker har en sikker forbindelse hvor du kan uploade disse oplysninger fremfor sende e-mail.

Spørgsmålet er så om data er 100% sikker hos modtager.
PGP kryptering er godt, og sikrer kun afsender og modtager kan læse data, selv når data er endt hos modtager kræver det nøgle hver gang indhold skal læses.
PGP bruges dog for lidt.

End-to-end kryptering er svært for den almindelige borger.
At mange så bruger gratis mail løsninger som gmail, hotmail, yahoo osv. hvor PGP support ikke er indbygget gør det ikke bedre.

Martin Storgaard Dieu

Hvorfor er det relevant at kommunikere igennem e-mail med bank eller forsikringsselskab?

Når jeg har skulle kommunikere med min bank, så har de en funktion i netbank, hvori jeg kan skrive direkte med min bankrådgiver. Det samme sted køre underskrift af dokumenter og fremsendelse af dokumentation.

Sidste gang jeg skulle anmelde stjålne genstande ved et indbrud, så skete alt kommunikation igennem deres hjemmeside.

Om data er sikker i banken/forsikringsselskabet/... er en helt anden snak. Denne beror sig udelukkende om, hvorfor jeg dog nogensinde skulle finde det nødvendigt at sende ovennævnte oplysningerne over e-mail.

Tager ens bank/forsikringsselskab ikke persondatasikkerhed lige så seriøst som en selv - eller har tænkt sig at gøre det i nærmeste fremtid - så må man stemme med sin pengepung. Der er heldigvis et udvalg som tager persondatasikkerhed seriøst.

Jan Rørgaard Hansen

Flere forsikringsselskaber har ganske rigtigt en god web-løsning, hvor det er muligt at oprette skadesanmeldelser. En skadesanmeldelse kan selvfølgelig indeholde følsomme personoplysninger.
I det øjeblik informationen indsendes til selskabet via hjemmesiden, sender de en bekræftelse på email indeholdende al den følsomme information.

På tidspunktet hvor man laver anmeldelsen, er det ikke sikkert overskuddet/tiden er til stede til at gennemtænke om den mailløsning man har, egentlig egner sig til dette formål (og mange vil nok i praksis ikke kunne gennemskue hvad det er de skal vælge mailløsning efter).

Jeg har oplevet et forsikringsselskab ændre praksis så snart de blev gjort opmærksom på ovenstående. Og jeg har oplevet andre som var mere tilbageholdende.

Jan Rørgaard Hansen

Jeg har prøvet at grave lidt i et forsyningsselskabs anvendelse af email ifbm. deres lancering af egen digital post-løsning.
Jeg fandt frem til:
- at man ved tilmelding sagde ja til al fremtidig kommunikation gik via email, uden at det var specificeret hvilken kommunikation det drejede sig om nu og i fremtiden.
- at selskabet sender post via https til en maildistributør i USA
- at maildistributøren gemmer posten i USA og sender via opportunistic TLS til modtageren

Der er flere ting der springer mig i øjnene, men i hvert fald kan det være ret vanskeligt for en modtager at gennemskue hvilken vej digital post vil tage fra afsender til modtager.
I ovenstående tilfælde gør maildistributøren (ikke forsyningsselskabet) opmærksom på i sine betingelser, at man accepterer at email er et usikkert medie som generelt ikke er krypteret under transporten.
Med det besvær jeg havde med at få svar, så synes jeg ikke det er en helt enkel opgave at skulle vurdere som modtager, hvad resultatet bliver ved at udlevere sin email-adresse.

Rent teknisk: Hvordan kan man som modtager vide om afsender bruger opportunistic TLS og tillader noder undervejs at downgrade transporten, eller om afsender kræver kryptering for at mailen leveres?

Jan Rørgaard Hansen

Men du kan ikke få afsenderen til at bruge PGP, og slet ikke når Datatilsynet melder ud som de har gjort. Det er selvfølgelig bare min påstand, efter at have debatteret med flere forskellige selskabers DPO/IT-ansvarlige om emnet.
(På Facebook kan man til gengæld bede om, at få email-notifikationer etc. krypteret med PGP og indtaste sin offentlige nøgle.)

Log ind eller Opret konto for at kommentere