18 nov 2019

Hvilke regler gælder for fremsendelse af fortrolige oplysninger i mails?

Datatilsynet fastslår ved en afgørelse, at fremsendelse af fortrolige oplysninger i ukrypteret mail var i overensstemmelse med databeskyttelsesforordningens artikel 32, sk. 1.

Kort om sagen

En borger havde klaget over, at en virksomhed flere gange havde sendt fortrolige oplysninger vedrørende dennes skyldige restancer til borgerens ukrypterede e-mail. Virksomheden havde ved fremsendelse af de pågældende e-mails anvendt en TLS-kryptering. TLS-krypteringen var indstillet således, at e-mails blev sendt krypteret, hvis modtagerens mail understøttede dette. Dette medførte dog, at modtagere, hvis e-mails ikke understøttede TLS, kun kunne modtage ukrypterede mails.

Datatilsynets afgørelse

Datatilsynet kom i sagen frem til, at den dataansvarlige virksomhed ikke havde handlet i strid med databeskyttelsesforordningens regler, idet virksomheden havde gennemført en tilstrækkelig risikovurdering vedrørende den generelle brug af TLS-indstilling og ligeledes gennemførte risikovurderinger for hver af de modtagere, hvis e-mails ikke understøttede TLS-krypteringen og dermed ville modtage e-mails ukrypteret.

Tilsynet fremhævede, at det ikke er i direkte strid med databeskyttelsesforordningens artikel 32, stk. 1, at man som dataansvarlig benytter en indstilling, som ikke gennemtvinger en TLS-kryptering hos modtageren. Det vil dog efter Datatilsynet opfattelse være en betingelse, at den dataansvarlige – forinden anvendelse og fremsendelse – har foretaget en tilstrækkelig risikovurdering, hvor det vurderes, om en sådan opsætning af mailsystemet er en passende sikkerhedsforanstaltning.

Se Datatilsynets afgørelse her

Datatilsynet anbefaler, at der anvendes en TLS 1.2 kryptering 

Selvom Datatilsynet kom frem til, at det ikke var i strid med databeskyttelsesforordningen at benytte sig af en indstilling, som ikke gennemtvinger en TLS-kryptering hos modtageren, anbefaler de dog alligevel, at man som dataansvarlig som minimum anvender en TLS 1.2 kryptering. Med en TLS 1.2 kryptering vil e-mails, som indeholder følsomme eller fortrolige oplysninger, blive sendt krypteret uanset indretningen af modtagerens indstillinger.

Læs mere om kravene til fremsendelse af e-mails med fortrolige personoplysninger her

Er du i tvivl om, hvordan din virksomhed håndterer brug af e-mail, og om dette er korrekt, er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du spørgsmål vedrørende reglerne for kryptering af e-mails?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.