Efter introduktionen af persondataforordningen (GDPR), er det Datatilsynets opfattelse, "at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet."
Datatilsynet stiller endvidere spørgsmålet: Hvad vil det sige at sende e-mails sikkert?
Deres svar er at gøre brug af kryptering på transportlaget og/eller end-to-end kryptering - Deres artikel om emnet gennemgår vi her, da vi gerne vil have at du som Netsite kunde ved hvordan du skal forholde dig til Datatilsynets skærpede praksis i forhold til transmission af personoplysninger på e-mail via internettet.
Kryptering på transportlaget er minimumsniveau
Det er Datatilsynets opfattelse, "at kryptering på transportlaget bør betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail."
Når du bruger Netsites e-mailplatform, og særligt vores webmail, er kryptering på transportlaget via TLS (1.2) et tiltag du allerede benytter dig af. Det er dog vigtigt at vide at kryptering på transportlaget ikke er en garanti for at indholdet af din e-mail, ikke kan læses af utilsigtede.
Kryptering på transportlaget er med til at øge sikkerheden omkring din e-mail generelt, og hvorfor man bør være opmærksom på at få det brugt. Bruger du din e-mail-adresse andre steder end webmailen, er det derfor vigtigt, at du har lavet den korrekte opsætning for at opnå en krypteret forbindelse til vores mailservere.
Transportlag ved afsendelse og modtagelse
Datatilsynet kommunikerer yderligere: "Hvis man som dataansvarlig [dvs. dig som Netsite kunde] anvender fx TLS, skal man sikre sig, at krypteringen er til stede når e-mailen transporteres over de åbne netværk der forekommer, fra afsenderens maskine til modtagerens mailserver."
Dette er selvsagt umuligt at kontrollere for en dataansvarlig - Netsites mailservere kan nemlig ikke opsættes til at gennemtvinge TLS og fejle, hvis ikke TLS er muligt - Vi forsøger så vidt muligt, at levere e-mails du sender til modtagere, via TLS. Men Netsites mailservere leverer en e-mail uanset om en TLS forbindelse kan garanteres, da du ellers vil få afvist levering af en stor del af dine e-mails.
Kryptering på transportlaget må derfor opfattes som opportunistisk.
Som dataansvarlig går dit ansvar for dataen kun til modtagerens mailserver
Vi synes det er værd tænke over, at selvom en e-mail skulle gå hele vejen til modtageren via TLS, ligger denne så stadig ukrypteret på modtagerens mailserver, så vel som at den kommer til at ligge ukrypteret på modtagers computer, når denne downloades ved modtagelse.
En ting er at overholde reglerne, fordi man skal - Men det rigtige må være, at hvis man sender fortrolige og følsomme personoplysninger, også tænker over hvordan dataen så ligger ukrypteret hos modtageren, hvis altså ikke end-to-end kryptering anvendes.
Eksempel på antal transportlag ved afsendelse/modtagelse af e-mail
- Du sidder på dit kontor, og du sender en e-mail fra din computer, igennem Outlook - Du sender via vores udgående mailserver - smtp.netsite.dk - med port 587 og forbinder med STARTTLS: Forbindelsen til vores mailserver laves derfor krypteret, og i dette transportlag, er indholdet af din e-mail beskyttet af måden du kommunikerer med serveren på, og indholdet kan derfor ikke læses/opsnappes af andre.
- Den sendte e-mail fortsætter så sin transmission "over de åbne netværk [transportlag] der forekommer", hvor forbindelsen ikke nødvendigvis sker via TLS, og indholdet kan derfor læses/opsnappes af andre, indtil denne leveres til modtagerens mailserver.
- Modtageren af din e-mail sidder så på en café, på en wi-fi forbindelse, og downloader den e-mail du har sendt og som er blevet leveret til vedkommendes mailserver. Modtageren her, forbinder så ikke sikkert til sin mailserver (f.eks. via TLS), og i transportlaget fra vedkommendes mailserver og til vedkommendes computer, kan indholdet af e-mailen læses/opsnappes af andre.
Derfor er end-to-end kryptering noget man er nødt til at kigge nærmere på, når fortrolige og følsomme personoplysninger skal sendes på e-mail via internettet. Vi mener også, at end-to-end kryptering kan være en god idé, når virksomheder generelt sender forretningssensitive oplysninger på e-mail.
Tal med Netsite om kryptering
Man skal selvfølgelig ikke være skræmt over at sende e-mails generelt - Netsites e-mailplatform er tidssvarende, og sikkerheden har vores højeste prioritet. Du har dog selv et ansvar, for at sørge for at du har valgt en stærk adgangskode til din e-mailadresse, bruger dit webhotels sikkerhedstiltag (hvilket automatisk sættes op af os ved ny-oprettelser), og har lavet den rigtige opsætning de steder hvor du bruger din e-mail.
Tag gerne fat på os, hvis du vil være sikker på, at din e-mail kører med så sikker opsætning som mulig.
End-to-end kryptering - Den nødvendige løsning at sætte sig ind i
Om end-to-end kryptering forklarer Datatilsynet at afsenderen og modtageren hver har et nøglepar "bestående af en offentlig nøgle og en privat nøgle. Afsenderen anvender modtagerens offentlige nøgle til at kryptere indholdet af e-mailen, før den sendes. Modtageren anvender sin egen private nøgle til at dekryptere e-mailens indhold efter modtagelse. Indholdet af e-mailen er på denne måde krypteret hele vejen fra afsenderens e-mail klient til modtagerens e-mail klient."
"Problemet" med end-to-end kryptering, er så at det kræver mere af din arbejdstid, og det gælder for både afsender og modtager. Det er selvfølgelig surt og besværligt, at e-mail, som man altid har brugt det, nu skal udfordres af lovdirektiver fra EU. Men databeskyttelse er vigtigt, og det bedste man kan gøre, er derfor at sætte sig ind i hvad løsningen er for en selv, og få tilvænnet sig de nye rutiner.
Hvilken end-to-end kryptering skal jeg vælge?
Datatilsynet nævner PGP, S/MIME, NemID og kryptering af vedhæftning, når vi taler end-to-end kryptering. Netsite er grundlæggende en open source udbyder, og anbefaler derfor at man sætter sig ind i PGP.