Sikker mail

Sikker mail

Fra 1. januar 2019 skal al e-mail kommunikation i den private sektor, der indeholder personfølsomme oplysninger, være krypteret. Er din virksomhed klar?

Sikker mail er det modsatte af almindelige mails.

IT-kyndige sammenligner almindelige mails med et åbent postkort, så let er det at hacke almindelige mails!

Sikker mail er krypteret mail og skal bruges, når følsomme oplysninger (helbredsoplysninger, fagforeningsforhold mm.) og særlige oplysninger (straffelovsovertrædelser) mailes – og fra 1. januar skal personnummer og væsentlige socialt belastende oplysninger også mailes krypteret! Læs mere om kryptering af e-mails fra 1. januar i min anden artikel. Jeg har også skrevet om hjælp til håndtering af persondata for den lille virksomhed, samt om hvilke 3 ting du skal have styr på ved persondatareglerne.

Du kan downloade eller købe ekstra software, som kan bruges til kryptering sammen med dit aktuelle mailsystem. Eller du kan installere et mailcertifikat som PGP (Pretty Good Privacy), der giver dine medarbejdere mulighed for at dele en offentlig nøgle med alle, der vil sende dem en mail, og bruge en privat nøgle til at dekryptere de mails, de modtager. En anden simpel løsning er at bruge en krypteret mailtjeneste, som leveres af en tredjepart. Dette lyder svært og lidt uoverskueligt.

Men mange IT-leverandører har allerede fået indarbejdet krypteringsmuligheder i deres mailsystem.

Hvis du er Office 365-bruger, kan du f.eks. sende krypterede mails fra en hvilken som helst enhed via Outlook til Windows, Outlook til Mac eller Outlook.com, og modtagere, der ikke bruger Office 365, kan godkende og læse beskyttede mails via deres forbrugerkonti på Google eller Yahoo ud over via en adgangskode til engangsbrug og en Microsoft-konto. Du kan afsende krypterede mails direkte til modtagernes indbakker og ikke til en webtjeneste.

Du er nødt til at undersøge, hvilke krypteringsmuligheder din it-mailleverandør kan tilbyde dig – og gøre det i god tid inden den 1. januar 2019.

Du skal vide, at kryptering kan ske på to måder: enten ved kryptering på selve transporten af de datapakker som indeholder e-mailen, når de sendes over netværket, eller ved kryptering af selve indholdet af e-mailen hos afsenderen, inden den sendes over netværket. Spørg din it-leverandør, hvilke muligheder du har – og overvej, hvad du har brug for.

Kryptering af datapakker

E-mails sendes oftest i såkaldte datapakker. En pakke er en enhed, som altid følger en bestemt struktur, således at afsender- og modtagersystemet forstår, hvordan den skal læses. Det er kun selve transporten af e-mailen der krypteres. E-mailen lagres i en ukrypteret og læselig tilstand på både afsenderes og modtagerens mailservere.

Kryptering af indholdet i selve mailen

Som et alternativ (eller som en yderligere ekstra foranstaltning) kan indholdet i mailen krypteres. Det vil sige at afsenderen og modtageren, hver har et nøglepar bestående af en offentlig nøgle og en privat nøgle. Indholdet af e-mailen er på denne måde krypteret hele vejen fra afsenderens e-mail klient til modtagerens e-mail klient. Her er tre konkrete eksempler på løsninger:

PGP: Pretty Good Privacy (PGP) er et program, som blev udviklet i 1991 til kryptering og dekryptering af tekst, e-mails, filer og mapper. Programmet, der følger den såkaldte OpenPGP standard, gør det muligt for enhver gratis at generere et nøglepar bestående af en offentlig- og privat nøgle, som er tilknyttet en bestemt e-mailadresse. Den offentlige nøgle kan publiceres i et online opslag, som samtidig fungerer til udveksling af nøgler. PGP kan integreres i e-mailklienter som Outlook og Thunderbird.

S/MIME: En anden variation af end-to-end kryptering er S/MIME. På samme måde som med PGP, har afsenderen og modtageren hver en offentlig- og privat nøgle, som anvendes som beskrevet ovenfor. Med S/MIME er parternes offentlige nøgle en del af et certifikat, udstedt af en såkaldt Certificate Authority (CA), som knytter værdien af den offentlige nøgle til en fysisk person. Når en e-mail sendes, bliver modtagerens certifikat godkendt ved hjælp af en mekanisme, der som regel er indbygget i e-mailklienten, og som er usynlig for brugeren. S/MIME er et populært valg hos større virksomheder til at håndtere kryptering af e-mails, som sendes internt, da virksomheden selv kan udstede certifikater til medarbejderne og kontrollere den bagvedliggende mekanisme til verifikation af certifikater.

NemID: Alle som har et offentligt certifikat tilknyttet sit NemID kan bruge dette til at sende og modtage sikker e-mail. Konceptet er det samme som for S/MIME ovenfor, på nær det er NemID, der udsteder og håndterer distribution af certifikater. At sende krypteret e-mail med NemID kræver, at der installeres en særlig udvidelse i e-mailklienten, som samtidig gør det lettere at finde modtagerens certifikat ved afsendelse. Du kan læse mere om sikker e-mail med NemID på NemID’s hjemmeside.

Denne artikel er lavet af advokat Wivi H. Larsen, Ret&Råd Advokater Glostrup Ballerup Greve med henvisning til Datatilsynets artikel om emnet. Wivi kan kontaktes på tlf. 46 30 46 79 eller via mail til whl@ret-raad.dk. Find din lokale Ret&Råd advokat eller læs mere om virksomhedsrådgivning på Ret&Råds hjemmeside.