Datatilsynet skærper praksis overfor private virksomheder, der sender mails med personfølsomme oplysninger.
Det fremgår af en pressemeddelelse fra Datatilsynet.
Indtil nu har det kun været en 'anbefaling' til private virksomheder, mens det har været et krav for det offentlige siden 2000.
“Vores udgangspunkt er, at det er passende at have kryptering. Hvis man ikke har gjort det, eller taget andre foranstaltninger, så vil vi nok komme frem til, at man har overtrådt artikel 32,” siger Jesper Vang, kontorchef i Datatilsynet, til Computerworld.
Allerede et krav i GDPR
Men egentlig er det en teknikalitet, at Datatilsynet ikke kræver at private virksomheder altid krypterer mails med personfølsomme oplysninger.
“Vi kan ikke sige, at det er et ultimativt krav, for vi kan ikke udelukke at nogen kan finde på nogle andre snedige foranstaltninger, der gør at man kan slippe uden om det. Men normalen bør være, at man har kryptering når man sender mails med personfølsomme oplysninger,” siger Jesper Vang.
Virksomhederne har dog ikke noget at frygte, mener Jesper Vang. Kravet er allerede en del af GDPR.
“Det er egentlig en hjælp til virksomhederne om, at når i skal lave jeres risikovurderinger, så bør I nok komme frem til at i sætter kryptering på, når i sender personfølsomme oplysninger.”
De private virksomheder har indtil nu gået fri fra kravet med den begrundelse, at det ikke var alle privatpersoner, der kunne modtage krypteret mails.
Men den forklaring holder ikke længere, lyder det nu fra Datatilsynet, der henviser til at de fleste mailsystemer i dag kan modtaget krypterede mails.
