Krav til private virksomheder om kryptering af e-mails

20/08/18

Datatilsynet indfører krav om kryptering ved transmission af fortrolige og følsomme oplysninger pr. e-mail via internettet for den private sektor.

Nyt krav om kryptering af e-mails

Hidtil har det i Datatilsynets praksis alene været en anbefaling - og dermed ikke et krav - at den private sektor anvender kryptering ved transmission af fortrolige og følsomme personoplysninger pr. e-mail via internettet.

Som følge af Databeskyttelsesforordningens risikobaserede tilgang har Datatilsynet derfor besluttet at skærpe sin praksis for så vidt angår transmission af fortrolige og følsomme personoplysninger pr. e-mail via internettet i den private sektor.

Formålet med den skærpede praksis er at reducere risikoen for, at personoplysningerne havner i de forkerte hænder, hvilket blandt andet kan betyde, at oplysningerne anvendes til uautoriserede formål, manipuleres eller tilintetgøres.

Hvornår træder det nye krav i kraft?

Datatilsynet oplyser, at de først vil håndhæve den nye praksis fra den 1. januar 2019. Dette giver virksomhederne i den private sektor tid til at indrette sig på det nye krav.

Fra januar 2019 vil Datatilsynet således anse kryptering for en passende sikkerhedsmæssig foranstaltning også i den private sektor.

Hvad betyder den nye praksis for HR-funktionen?

For private virksomheders HR-funktion betyder den nye praksis, at alle e-mails, der indeholder personoplysninger om virksomhedens medarbejdere af enten fortrolig eller følsom karakter, skal krypteres. Langt størstedelen af de personoplysninger, som en virksomhed behandler om sine ansatte, vil enten være fortrolige (fx lønoplysninger) eller følsomme (fx helbredsoplysninger). I den kommende periode skal HR-funktionen derfor overveje, hvordan dette krav konkret opfyldes enten i samarbejde med virksomhedens it-funktion eller ved brug af tekniske løsninger, der udbydes af eksterne leverandører.

Den nye praksis stiller dermed også krav til kommunikationen mellem virksomheden og dennes rådgivere, i det omfang der fremsendes personoplysninger om virksomhedens medarbejdere og tilsvarende mellem virksomheden og for eksempel arbejdsgiverorganisationer og fagforeninger. Rådgivere og faglige organisationer skal derfor også forberede sig på det nye krav.

En del virksomheder vil formentlig allerede i dag have indført procedurer, hvorefter ansættelseskontrakter og tilsvarende dokumenter allerede sendes via lukkede systemer og dermed ikke over internettet. Kommunikation med offentlige myndigheder vil tilsvarende allerede i dag leve op til kravet, idet de offentlige myndigheder har været underlagt krypteringskrav siden 2000, da Persondataloven blev indført.

For så vidt angår behandling af personoplysninger i ansættelsesforhold afventer vi fortsat, at Datatilsynet og Justitsministeriet udarbejder vejledningen om Databeskyttelse på det ansættelsesretlige område. Vejledningen der oprindeligt var ventet i maj 2018 forventes nu at udkomme i efteråret.

PwC følger løbende med i nyheder fra Datatilsynet. Har du spørgsmål til de nye regler, er du velkommen til at kontakte os.

Kontakt os

Betri Pihl Schultze

Partner, PwC Denmark

Tlf: 3945 9443

Anja Hiort-Lorenzen

Senior Manager, PwC Denmark

Tlf: 3945 3313

Følg PwC