Guide – nye krav til kryptering af mail

Af Maja Mathiasen, studentermedhjælper

GDPR-bølgen skyllede ind over os i 2018, da loven om persondata trådte i kraft. Ændringer og tiltag blev sat i værk for at opfylde de nye krav - men i januar 2019 er yderligere krav kommet til, idet reglerne for sikker mail er blevet skærpet. Her er en guide til, hvordan du kan efterkomme kravene til sikker mail.

Personoplysninger skal krypteres

Langt de fleste efterlever allerede kravene til kryptering af mail, men det er alligevel en god idé at tjekke op på det. Når man indgår et samarbejde, kan det være nødvendigt at dele oplysninger om sig selv eller sine samarbejdspartnere, og nogle gange skal oplysningerne måske deles med en tredjepart også. Det kan for eksempel være nemt lige at sende et CPR-nummer over mail, hvis der skal laves løn - men her skal man være opmærksom! Nu er der nemlig krav om, at personoplysninger krypteres på mail. Det vil sige, at man eksempelvis ikke må sende personlighedstests eller CPR-numre via mail, medmindre den er krypteret.

Følgende persondata skal sendes via krypteret mail (kilde: IT Forum Gruppen A/S):

 

To forskellige typer kryptering

Der findes to forskellige sikkerhedsniveauer til kryptering af mail. På det ene niveau er det blot selve overførelsen, som krypteres. Dette kaldes TLS-kryptering (Transport Layer Security). På det andet niveau er det indholdet, som krypteres. Dette kaldes end-to-end kryptering.

TLS-kryptering

TLS-kryptering er minimumskravet til kryptering af mail. Her krypterer afsender-mailserveren indholdet, når det bliver sendt, og så dekrypterer modtager-mailserveren indholdet ved modtagelse.

                                                                                 TLS-kryptering (grafik: IT Forum Gruppen A/S) 

I dag er det standard, at mailservere bliver sat op til opportunistic encryption. Det vil sige, at afsender-mailserveren og modtager-mailserveren kommunikerer med hinanden om hvorledes trafikken kan krypteres. På den måde er det udelukkende, hvis de to servere ikke kan blive enige, at indholdet bliver sendt uden kryptering.

Den seneste optælling fra Google viser, at 91-92 % af alt ud- og indgående indhold til deres mailløsninger er krypteret. Tallet er sandsynligvis endnu højere, hvis man udelukkende ser på erhvervsmæssig e-mailtrafik.

End-to-end kryptering

Ved end-to-end kryptering sker krypteringen helt fra afsender-mailklienten til modtager-mailklienten. Det betyder, at der både er kryptering under transport og lagring.

                                                                       End-to-end kryptering (grafik: IT Forum Gruppen A/S)

I nogle særlige situationer er end-to-end kryptering den mest hensigtsmæssige. Det er den for eksempel, når der er høj risiko for de personer, som oplysningerne handler om.
Datatilsynet er selv kommet med følgende eksempel på, hvornår end-to-end kryptering er nødvendigt: ”… hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve”.

Tjek om din kryptering er i orden

Hvordan kan du så tjekke, om din kryptering lever op til kravene? Thomas Binzer Nørkjær fra IT Forum Gruppen forklarer, at man først og fremmest bør gøre sig klart, hvilken type kryptering, der passer til ens behov.

Derfor skal du starte med at spørge dig selv: Hvad er det for noget data, jeg sender? Og hvor stor en gruppe personer sender jeg data om ad gangen?

For langt de fleste vil en TLS-kryptering række, men sender du fortrolig persondata om et stort antal personer, så er end-to-end kryptering et must.

Tillægsprogram eller indstillinger nødvendigt

De fleste mailprogrammer sender i dag TLS-krypteret. Men sender du en mail til en, som ikke kan modtage krypteringen, vil den automatisk blive sendt uden kryptering. Så for at du kan være på den helt sikre side, er du nødt til at installere et tillægsprogram eller ændre i dit mailprograms indstillinger. Det varierer fra mailprogram til mailprogram, om der kan ændres i indstillinger, eller om der skal et tillægsprogram til.

Bruger du for eksempel Outlook, Hotmail eller Gmail, skal der installeres et program som eksempelvis Rmail. Når det er installeret, vil der være et ikon i hjørnet af din mail, som du kan trykke på og dermed vælge at sende mailen krypteret. 
Hvis modtageren ikke kan håndtere den krypterede mail, vil du få besked om det, og du kan herefter prøve at sende den på anden sikker vis.

Bruger du for eksempel Office 365, så kan du sikre dig, at du sender krypteret ved at lave nogle indstillinger i programmet. Det er dog ikke simpelt at lave sådan nogle indstillinger, så det er en god idé at få din IT-leverandør eller mailudbyder til at hjælpe dig med det.

Denne hjemmeside bruger cookies til trafikmåling og optimering af indhold. Hvis du klikker videre, accepterer du vores brug af cookies. Læs mere her.

Luk