IDA.DKIDA ForsikringIDA Studerende
Bliv medlem
IT og digitalisering
/
Læring og kompetencer
/
IT og digitalisering
/
UPS! Er du stadig opmærksom på GDPR, når du sender mails?

IT og digitalisering

UPS! Er du stadig opmærksom på GDPR, når du sender mails?

Hvilke servere passerer dine mails på sin vej, og hvor i verden befinder de sig? Det har du som udgangspunkt ingen kontrol over. Derfor bør du altid kryptere mails, der indeholder fortrolige og følsomme personoplysninger.

Af IDA Learning

17. maj 2024

Det er efterhånden 5 år siden, at Databeskyttelsesforordningen trådte i kraft, og Persondataloven blev erstattet med Databeskyttelsesloven.

Men er du den dag i dag stadig lige så obs. på om dine mails indeholder fortrolige og følsomme personoplysninger?

Hvis du trænger til en genopfriskning af, hvordan du opfylder GDRR-kravene til dine dine mails, kan du med fordel læse med her.

Hvad vil det sige at sende e-mails sikkert?

For at du kan opnå, at din e-mail sendes på en måde, hvor indholdet ikke kan tilgås af uvedkommende, er der som hovedregel to mulige tilgange:

  1. Enten anvendes kryptering på selve transporten af de datapakker som indeholder e-mailen, når de sendes over netværket.
  2. Eller også krypteres selve indholdet af e-mailen hos afsenderen, inden den sendes over netværket.

Kryptering på transportlaget: TLS

Det mest udbredte er at kryptere selve transporten af de datapakker, som indeholder e-mailen, når de sendes over netværket.

Datatilsynet nævner selv TLS (Transport Layer Security) som en mulighed, dog skal det som minimum være version TLS 1.2 eller nyere.

Som dataansvarlig skal du tjekke mailserverens indstillinger og sikre dig, at version 1.2 bliver brugt under hele transmissionen, da krypteringen ellers kan risikere at blive nedgraderet af en server, som ikke har denne version. I den forbindelse er der også risiko for downgrade-angreb, hvor en angriber tvinger forbindelsen til at benytte en ældre protokol med kendte sårbarheder, som kan bruges til at bryde krypteringen.

Du skal desuden være opmærksom på, at TLS kun krypterer selve transporten af e-mailen - så selve mailen altså lagres ukrypteret hos både afsender og modtager. Datatilsynet bemærker dog, at ansvaret for behandlingen af en modtaget e-mail ligger hos modtageren selv – og at en dataansvarlig derfor ikke kan stilles ansvarlig for, hvilken mailudbyder en modtager måtte have valgt, og hvor sikker denne er.

Ovenstående står i kontrast til en løsning, hvor der anvendes end-to-end kryptering.

End-to-end kryptering: Beskyttelse af e-mailens indhold

End-to-end kryptering er en ekstra foranstaltning, der sikrer, at e-mailens indhold forbliver krypteret under hele transmissionen fra afsenderens til modtagerens mailklient. Dette involverer brug af nøglepar bestående af offentlige og private nøgler. Nedenfor er tre løsninger til implementering af end-to-end kryptering:

  1. PGP (Pretty Good Privacy): PGP giver brugerne mulighed for at generere nøglepar tilknyttet deres e-mailadresse og kryptere indholdet af e-mails. Den offentlige nøgle kan publiceres online, hvilket gør det muligt for modtagere at dekryptere meddelelserne.

  2. S/MIME (Secure/Multipurpose Internet Mail Extensions): S/MIME bruger certifikater udstedt af en Certificate Authority (CA) til at knytte offentlige nøgler til fysiske personer. Dette sikrer, at modtagerens certifikat kan godkendes automatisk, når e-mails sendes.

  3. MitID: MitID tilbyder en sikker e-mailfunktion ved at tilknytte et offentligt certifikat til brugerens identitet. Dette certifikat kan bruges til at kryptere og dekryptere e-mails på samme måde som S/MIME.

En alternativ tilgang er at kryptere vedhæftninger til almindelige e-mails. Denne tilgang adskiller sig fra ovennævnte, fordi det kræver, at både afsenderen og modtageren anvender samme nøgle (fx et password), til at åbne de krypterede vedhæftninger.

Få endnu bedre overblik over kravene til behandlingen af personoplysninger

IDA har udviklet et intensivt heldagskursus, hvor du får stærke redskaber til at implementere og overholde databeskyttelsesloven og forordningens krav til behandling af personoplysninger

Efter kurset har du:

  • Overblik over kravene til behandling af personoplysninger
  • Viden om de konkrete krav til en DPO – både DPOens og organisationens forpligtelser
  • En stor digital pakke med adskillige vejledninger og skabeloner til at støtte arbejdet i praksis
  • En håndgribelig action plan for, hvordan din organisation griber opgaven an

Deltag på IDAs kursus i Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven og kom i bund med GDPR.

Kursus

Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven

Vil du have styr på grundlæggende persondataret, compliance og informationssikkerhed? Kom på intensivt kursus og få stærke redskaber til at implementere og overholde databeskyttelsesloven og forordningens krav til behandling af personoplysninger.

Kursus

Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven

Vil du have styr på grundlæggende persondataret, compliance og informationssikkerhed? Kom på intensivt kursus og få stærke redskaber til at implementere og overholde databeskyttelsesloven og forordningens krav til behandling af personoplysninger.

Læs mere:

Tema

IT og digitalisering

Se IDAs tilbud IT-arkitektur, cybersikkerhed, UX, UI, AI og machine learning, programmering og softwareudvikling, datascience, compliance og datasikkerhed.

Tema

Kursusoversigt

Få adgang til et bredt udvalg af kurser hos IDA, skræddersyet til STEM-uddannede. Sikr din markedsværdi og udvikl dine kompetencer hele karrieren

Kontakt

Få hjælp nu

Find relevante, kvalitetssikrede kurser og efteruddannelse.

Book en kompetencerådgivning her