Velkommen   (0 lektioner)

Nyheder

Får du ikke allerede vores nyhedsmail, kan du tilmelde dig her.

 

Datatilsynet har den 5. november 2019 offentliggjort sine afgørelser efter afslutning af planlagte tilsyn hos to advokatvirksomheder, revisorfirmaet BDO og fagforeningen Krifa. Tilsynene fokuserede på behandlingssikkerhed ved kryptering af mails, jf. databeskyttelsesforordningens artikel 32.

18-11-2019
Nye afgørelser om sikker mail fra Datatilsynet efter tilsyn hos bl.a. to advokatvirksomheder

Datatilsynet har den 5. november 2019 offentliggjort sine afgørelser efter afslutning af planlagte tilsyn hos to advokatvirksomheder, revisorfirmaet BDO og fagforeningen Krifa. Tilsynene fokuserede på behandlingssikkerhed ved kryptering af mails, jf. databeskyttelsesforordningens artikel 32.

 

Afgørelserne giver vigtige fortolkningsbidrag til forståelsen af reglerne om behandlingssikkerhed, herunder i forhold til anvendelsen af kryptering af mails og betydningen af risikovurderinger. Nedenfor følger en række punkter, som Danske Advokater mener bl.a. kan udledes af de fire afgørelser. Afgørelserne indeholder dog også andre fortolkningsbidrag, så det anbefales, at den ansvarlige for persondatasikkerhed i advokatvirksomheden læser afgørelserne i deres helhed her.

 

  1. I en af afgørelserne vedrørende en advokatvirksomhed udtales kritik af, at der ikke havde været indført procedurer, der sikrede, at der blev anvendt kryptering på mail ved fremsendelse af fortrolige og følsomme personoplysninger til klienter m.v. over internettet. På den baggrund anbefaler Danske Advokater, at procedurer for fremsendelsen af fortrolige og følsomme personoplysninger til klienter m.v. over internettet indføres og fremgår af f.eks. persondatapolitikken.
     
  2. I den ovenfor nævnte afgørelse udtales endvidere kritik af, at det ikke var påvist, at der var udarbejdet en risikovurdering, der tog stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet. Danske Advokater anbefaler på den baggrund, at der udarbejdes en risikovurdering vedrørende håndteringen af fortrolige og følsomme personoplysninger.
     
  3. På baggrund af afgørelserne er det Danske Advokaters vurdering, at i de tilfælde, hvor man har valgt opportunistisk TLS (ikke tvungen), altid ved en fastlagt procedure sikrer sig kontrol ved et opslag på domæne eller mailadresse for at forhindre fremsendelse af fortrolige og følsomme personoplysninger over det åbne internet.
     
  4. I afgørelsen vedrørende fagforeningen Krifa udtalte Datatilsynet kritik af, at Krifa havde anvendt personnummer på den person, som mailen vedrørte, som password til læsning af indhold på en webserver, når modtageren ikke understøtter sikker mail. Danske Advokater anbefaler på den baggrund, at man ikke anvender personnummer, telefonnumre etc. som password til klienter.
     
  5. Danske Advokater mener på baggrund af afgørelserne, at det kan lægges til grund, at selv forkortelser i emnefeltet, som ikke er krypteret, kan være problematiske, hvis det kan henledes til fortrolige og følsomme personoplysninger. Vær derfor opmærksom på, at emnefeltet aldrig krypteres og derfor ikke bør indeholde fortrolige eller følsomme personoplysninger og vær opmærksom på, at emnefeltet ikke er krypteret, uanset hvilken type af sikker mail, man benytter.
     
  6. Afgørelserne ses ikke at tage stilling til brug af enten TLS (kryptering på transportlaget mellem afsender og modtager) eller nødvendigheden i brug af End-to-end kryptering. Men det angives, at det er i overensstemmelse med databeskyttelsesforordningens artikel 32 at anvende End-to-end kryptering til fremsendelse af fortrolige eller følsomme personoplysninger over internettet til politiet, domstole og andre myndigheder.
     
  7. På baggrund af afgørelserne fra Datatilsynet vurderer Danske Advokater endvidere, at det kan udledes, hvad man skal være opmærksom på ved fremsendelse af e-mails fra mobiltelefon, hvis disse indeholder fortrolige og følsomme personoplysninger. Anbefalingen er her at have dokumentation for sin procedure samt i sin risikovurdering at have taget højde herfor.
     
  8. Vi kan indtil videre konkludere, at det væsentlige er, at der minimum er benyttet kryptering, og det forudsættes som et krav for brug af mail, som indeholder person- og fortrolige oplysninger. Danske Advokater anbefaler, såfremt det er muligt, at man benytter End-to-end kryptering. Hvis dette ikke er muligt i forhold til modtageren, så TLS.
     
  9. Danske Advokater mener desuden på baggrund af afgørelserne, at udgangspunktet er, at i de tilfælde, hvor man ikke kan kommunikere sikkert med fortrolige og følsomme personoplysninger i en krypteret mail, bør man benytte andre metoder, som f.eks. fremsendelse med almindelig post eller fysiske møder.
     
  10. Tilsynet hos de fire virksomheder afdækker kun spørgsmål i forhold til teknologien ved brug af ”sikker mail”, hvor der jo også er andre muligheder med f.eks. kryptering af et dokument, som vedhæftes en mail, eller benyttelse af en fildelingstjeneste for udveksling af informationer. Danske Advokater anbefaler derfor, at sådanne andre muligheder overvejes anvendt, hvor det kan være relevant.

 

Sikker e-mail-muligheder
Der findes en række forskellige muligheder for at kommunikere sikkert via e-mail. Hos Danske Advokater tilbyder vi via samarbejdspartnere flere forskellige løsninger, der kan sikre, at man opfylder kravene.

Se ”Sikker mail-kommunikation”-løsninger under Medlemsfordele.

 

Er du i tvivl om, hvilken løsning der passer bedst til din advokatvirksomhed, kan du kontakte Danske Advokaters digitaliseringschef Steen Hermansen på she@danskeadvokater.dk og tlf. 33 43 70 21.

she
 
kommentarer

 

Sider

KURSER

Steen Hermansen
Steen Hermansen | Digitaliseringschef | T: +45 33 43 70 21 | E: she@danskeadvokater.dk


Kontakt

Steen rådgiver om advokatbranchens digitale udfordringer og it-løsninger til advokatvirksomheder.

 

Steen har siddet med i vores arbejdsgruppe om persondata. Han har bl.a. udarbejdet materiale og guides til vores medlemmer om overholdelse af persondatalovgivningen, og han har undervist i GDPR-relaterede emner på vores medlemsmøder og kurser.

 

Steen er hr. IT inden for advokatbranchen. Han rådgiver medlemsvirksomheder i køb af IT, har kendskab til leverandørerne af IT-systemer og er i tæt dialog med domstolene ved udrulning af nye digitaliseringsprojekter.

Steen er vores spidskompetence vedrørende it-relaterede emner som den digitale retsproces, digital tinglysning, sikker mail med retterne, ejendomsdatarapporter, cloud computing m.m.

 

Steen afholder løbende undervisning inden for IT-relaterede emner.

Læs mere…

Kontakt Steen Hermansen på tlf.

33 43 70 21