Siden 1. januar 2019 har det været et krav at anvende kryptering ved fremsendelse af fortrolige og følsomme personoplysninger via e-mails.
I forbindelse hermed har Datatilsynet i foråret gennemført tilsynsbesøg hos en række private virksomheder, og tilsynet har truffet afgørelse i fire sager om behandlingssikkerhed med særlig fokus på kryptering af e-mails med fortrolige og/eller følsomme personoplysninger. Disse afgørelser er også relevante for uddannelsesinstitutioner, herunder som inspiration til, hvordan institutionerne bør tilpasse sine systemer.
Fortrolige og følsomme personoplysninger i uddannelsesinstitutioner
Uddannelsesinstitutionerne behandler typisk såvel fortrolige som følsomme personoplysninger, herunder bl.a. cpr-nummer, karakterer, oplysninger om trivsel og eventuelle helbredsoplysninger om eleverne.
Uddannelsesinstitutionerne skal i den forbindelse være opmærksomme på at sikre en passende krypteringsløsning, når disse oplysninger udveksles via e-mail, fx ved:
- Institutionernes korrespondance med elever og eventuelt forældre.
- Institutionernes håndtering af indsigtsanmodninger og udlevering af data i forbindelse hermed.
- Eventuelle indberetninger til offentlige myndigheder.
Har institutionerne implementeret særlige studieadministrative it-systemer til brug for fx korrespondancen med elever og forældre samt deling af relevante uddannelsespapirer m.v., skal sådanne systemer ligeledes efterleve krypteringskravet.
Samtidig understreger afgørelserne vigtigheden af, at uddannelsesinstitutionerne får gennemført skriftlige risikovurderinger for samtlige af deres behandlingsaktiviteter, herunder deres mailkorrespondance over internettet indeholdende fortrolige og/eller følsomme personoplysninger.
Datatilsynets afgørelser
I to af afgørelserne (vedr. et advokatfirma samt et revisionsfirma) konkluderede Datatilsynet, at virksomhederne efterlevede bestemmelserne i databeskyttelsesforordningen mht. kryptering af e-mails samt udarbejdelse af risikovurdering, hvor der er taget stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet.
I to øvrige afgørelser har Datatilsynet udtalt kritik af et kontorfællesskab for advokater samt af en fagforening. Nedenfor opsummeres væsentlige punkter fra de to afgørelser.
Du kan også læse mere om Datatilsynets nyhed her.
Manglende kryptering og risikovurdering hos kontorfællesskab for advokatfirmaer
Kontorfællesskabet af advokatfirmaer fik udtalt kritik af manglende kryptering samt manglende risikovurdering af behandlingsaktiviteten vedr. fremsendelse af e-mails indeholdende personoplysninger.
Kontorfællesskabet anvendte tre krypteringsløsninger:
1. Send sikkert-løsning (S/MIME) anvendes typisk med NemID-certifikater til medarbejdere og virksomheder for at verificere, at det kun er den tiltænkte modtager, som kan åbne e-mailen.
2. Tunnelmail krypterer domæne til domæne, hvor brugere på et domæne tilmeldt tunnelmail-listen, som man har tillid til, kan kommunikere med alle andre brugere på et andet domæne, som også er tilmeldt tunnelmail-listen.
3. TLS krypterer ikke data men derimod forbindelsen (transportlag) mellem to mailsystemer og sikrer, at personer, der evt. kunne opfange posten undervejs, ikke kan læse den. TLS kræver, at både afsenders og modtagers system understøtter TLS.
Punkt 1 og 2 ovenfor var for afsenderen i kontorfællesskabet integreret i Outlook via en knap med teksten ”Send sikkert”. Ved tryk på denne knap kunne det undersøges, om den angivne modtageradresse kunne modtage krypterede e-mails enten via Send sikkert-løsningen eller via tunnelmail løsningen. Hvis modtageren understøttede en af de to nævnte løsninger, ville feltet blive markeret med grøn farve og ellers med rød farve. Hvis modtageren ikke understøttede en af løsningerne, kunne afsenderen vælge at sende e-mailen alligevel. I så fald foregik afsendelsen med opportunistisk TLS uden nogen garanti for, at e-mailen blev afsendt krypteret.
I de tilfælde, hvor løsninger jf. punkt 1 og 2 blev anvendt, vurderede Datatilsynet, at kontorfællesskabet anvendte tilstrækkelig behandlingssikkerhed.
Blev krypteringsløsning jf. punkt 3 anvendt uden yderligere tiltag, kunne der ikke opnås en garanti for, at modtagerdomænet understøttede krypteringen. Da kontorfællesskabet ikke på tidspunktet for tilsynet havde indført procedurer, som sikrede, at modtagerdomænet understøttede TLS kryptering forud for afsendelse af fortrolige og følsomme personoplysninger, udtalte Datatilsynet kritik af dette forhold.
Kontorfællesskabet meddelte efter tilsynsbesøget, at der ville blive indført procedurer for, at det i tvivlstilfælde kan undersøges, om modtagerdomænet understøttes af TLS forud for afsendelse af en e-mail indeholdende fortrolige eller følsomme personoplysninger.
Kontorfællesskabet havde forud for tilsynsbesøget fremsendt risikovurdering for kontorfællesskabets behandling af personoplysninger, men risikovurderingen indeholdt ikke overvejelser om behandlingsaktiviteten for e-mails indeholdende personoplysninger, der tog stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet.
Det er Datatilsynets vurdering, at den manglende risikovurdering har medført utilstrækkelige sikkerhedsforanstaltninger i forhold til e-mails til klienter og pårørende.
Kontorfællesskabet meddelte efter tilsynsbesøget, at behandlingsaktiviteten for e-mail kontakt med klienter ville blive indarbejdet i den eksisterende risikovurdering.
Anvendelse af personnummer som password, afsendelse af ikke krypterede e-mails samt manglende anmeldelse af brud på persondatasikkerheden hos fagforening
Efter tilsynsbesøg hos fagforeningen konkluderede Datatilsynet, at fagforeningen på 4 ud af 6 punkter efterlevede databeskyttelsesforordningens bestemmelser om behandlingssikkerhed i forbindelse med kryptering af e-mails samt udarbejdelse af risikovurdering.
Fagforeningen modtog dog kritik af:
4. at have anvendt personnummeret på den person, e-mailen vedrørte, som password til læsning af krypteret e-mail.
5. i en periode fra 1. januar 2019 til 9. april 2019 at have sendt ikke krypterede e-mails, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold, og uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.
Fagforeningen oplyste til Datatilsynet, at personnummeret var valgt som password, så både modtageren og en evt. tredjepart – fx en advokat eller arbejdsgiver – kunne tilgå e-mailen, og at personnummeret fungerede som genkendelsesmetode for både medlemmet og tredjeparten. Personnummeret blev ikke oplyst, men det blev anført, at personnummeret udgjorde password.
Datatilsynet vurderede, at fagforeningen ikke har gennemført passende sikkerhedsforanstaltninger, idet tilsynet lagde vægt på, at:
- fødselsdato er en almindelig, ikke-følsom personoplysning, der ofte vil være kendt af andre end den registrerede,
- tildeling af et personnummer følger en offentlig kendt metode, hvormed de mulige personnumre for en given fødselsdato kan indskrænkes til et lille antal muligheder,
- personnummer anvendes bredt på tværs af myndigheder m.v., hvilket medfører en høj sandsynlighed (og dermed forhøjet risiko) for, at fortroligheden af de oplysninger, som adgangskontrollen skal sikre, kompromitteres.
Fagforeningen har oplyst til Datatilsynet, at fagforeningen har kendskab til fire tilfælde siden 1. januar 2019, hvor e-mails var blevet sendt uden kryptering, hvoraf oplysninger om fagforeningsmæssigt tilhørsforhold kunne udledes. De pågældende e-mails var sendt med opportunistisk TLS.
I perioden 1. januar til 28. februar 2019 blev 1.544 adviseringsmails desuden sendt via opportunistisk TLS, hvoraf oplysninger om fagforeningsmæssigt tilhørsforhold muligvis kunne udledes, grundet en fejl, hvor der i brødteksten fremgik ordet ”Fagforening” i stedet for ”Fagforeningens navn”.
Fagforeningen har efter egen vurdering ikke anmeldt hændelserne til Datatilsynet, idet fagforeningen lagde vægt på, at fagforeningen var sikker på, at e-mailen var stilet til den korrekte modtager, samt at e-mails var fremsendt med opportunistisk TLS. Det er dog Datatilsynets vurdering, at de pågældende brud på persondatasikkerheden burde have været anmeldt.
Løbende risikovurdering i uddannelsesinstitutioner
Uddannelsesinstitutioner har generel megen dataudveksling, såvel via internettet og e-mails, men tillige via studieadministrative systemer.
Det er således fortsat relevant løbende at vurdere risikoen forbundet hermed.
Kontakt
Bodil Hald Brabæk, Director, Head of Data Privacy Law, tlf. 2529 3268
Peter K. Jensen, Senior Consultant, Local Region Advisory, tlf. 2529 3358
