07
Sep
Krypt’er mails med personfølsomme oplysninger

Fra den 1. januar 2019 er det et krav, at mails fra din virksomhed, som indeholder personfølsomme oplysninger, krypteres. Fx må du ikke længere sende CPR-numre, lønsedler og dit personlige regnskab via almindelig mail.

Når du krypterer en mail, sikrer du, at den først kan afkodes, når modtageren åbner den. Ukrypterede mails kan bedst betegnes som åbne postkort, hvor andre kan læse med, mens en krypteret mail er ”pakket ind i en lukket kuvert” – det er derfor, Datatilsynet har besluttet at indføre kravet, som i øvrigt længe har været gældende i offentlige virksomheder.

Grunden, til at kravet først håndhæves fra januar 2019 og ikke med det samme, er, at Datatilsynet gerne vil give virksomhederne en mulighed for at tilpasse deres systemer – og så der fra januar ikke længere er nogen undskyldning.

Hvis din virksomhed ikke allerede har et krypteringsprogram, skal du skaffe det og få tilpasset dit mailsystem hertil. Derudover skal du sætte dig ind i, hvilke oplysninger der fremover kræver en krypteret mail, ligesom du skal sikre dig, at dine medarbejdere bliver informeret og lærer, hvordan og hvornår de skal sende krypterede mails. Det kræver tilvænning, men det er vigtigt, at alle i virksomheden forstår nødvendigheden af, at reglerne overholdes – dels så I undgår, at de personoplysninger, I sender via mail, bliver opsnappet af hackere, dels så I undgår bøder, hvis Datatilsynet kommer på besøg.

Hvilke personoplysninger skal sendes via krypteret mail?
Det er ikke alle personoplysninger, der skal sendes via krypteret mail, men blot de mest følsomme og fortrolige. Dvs. de personoplysninger, som i særlig grad beskriver den pågældende person samt dennes privatliv, holdninger osv.

Mails med følgende oplysninger skal fremover krypteres:

– Politisk overbevisning
– Fagforeningsmæssigt tilhørsforhold
– Helbredsoplysninger
– CPR-nummer
– Strafbare forhold
– Indtægts- og formueforhold
– Interne familieforhold (selvmordsforsøg og ulykkestilfælde)
– Regnskaber for personligt ejede virksomheder
– Årsopgørelser for personer
– Forskudsopgørelser for personer
– Lønsedler
– Personlige regnskaber
– Orientering, om at ledelsen har begået strafbare forhold, i henhold til Revisorloven § 22
– Lejekontrakter og andre kontrakter/forhold, som indeholder CPR-nummer.

 

Ovenstående liste er ikke udtømmende.

Spørgsmål?
Følg med i vores nyhedsbrev – i løbet af efteråret forventer vi at finde en løsning på, hvordan du bedst sender og modtager krypterede mails.

Hvis du har spørgsmål, er du velkommen til at kontakte juridisk konsulent Bodil Just.