Hvilke regler gælder for fremsendelse af fortrolige oplysninger i mails?

Nyhed
18.11.2019

Datatilsynet fastslår ved en afgørelse, at fremsendelse af fortrolige oplysninger i ukrypteret mail var i overensstemmelse med databeskyttelsesforordningens artikel 32, sk. 1.

Kort om sagen

En borger havde klaget over, at en virksomhed flere gange havde sendt fortrolige oplysninger vedrørende dennes skyldige restancer til borgerens ukrypterede e-mail. Virksomheden havde ved fremsendelse af de pågældende e-mails anvendt en TLS-kryptering. TLS-krypteringen var indstillet således, at e-mails blev sendt krypteret, hvis modtagerens mail understøttede dette. Dette medførte dog, at modtagere, hvis e-mails ikke understøttede TLS, kun kunne modtage ukrypterede mails.

 

Datatilsynets afgørelse

Datatilsynet kom i sagen frem til, at den dataansvarlige virksomhed ikke havde handlet i strid med databeskyttelsesforordningens regler, idet virksomheden havde gennemført en tilstrækkelig risikovurdering vedrørende den generelle brug af TLS-indstilling og ligeledes gennemførte risikovurderinger for hver af de modtagere, hvis e-mails ikke understøttede TLS-krypteringen og dermed ville modtage e-mails ukrypteret.

 

Tilsynet fremhævede, at det ikke er i direkte strid med databeskyttelsesforordningens artikel 32, stk. 1, at man som dataansvarlig benytter en indstilling, som ikke gennemtvinger en TLS-kryptering hos modtageren. Det vil dog efter Datatilsynet opfattelse være en betingelse, at den dataansvarlige – forinden anvendelse og fremsendelse – har foretaget en tilstrækkelig risikovurdering, hvor det vurderes, om en sådan opsætning af mailsystemet er en passende sikkerhedsforanstaltning.

 

Datatilsynet anbefaler, at der anvendes en TLS 1.2 kryptering

Selvom Datatilsynet kom frem til, at det ikke var i strid med databeskyttelsesforordningen at benytte sig af en indstilling, som ikke gennemtvinger en TLS-kryptering hos modtageren, anbefaler de dog alligevel, at man som dataansvarlig som minimum anvender en TLS 1.2 kryptering. Med en TLS 1.2 kryptering vil e-mails, som indeholder følsomme eller fortrolige oplysninger, blive sendt krypteret uanset indretningen af modtagerens indstillinger.

 

Læs mere om kravene til fremsendelse af e-mails med fortrolige personoplysninger her

Er du i tvivl om, hvordan din virksomhed håndterer brug af e-mail, og om dette er korrekt, er du altid velkommen til at kontakte os.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev