Kryptér personoplysninger korrekt, og undgå kritik fra Datatilsynet
Bruger du et tilstrækkeligt krypteringsniveau, når du og din virksomhed behandler personoplysninger? Det gjorde en offentlig myndighed ikke, og det førte til kritik fra Datatilsynet. Vi gør dig klogere på, hvordan kritikken kan undgås med hjælp fra tilsynets seneste konkretisering af reglerne.
Datatilsynet har undersøgt en selvbetjeningsløsning hos en offentlig myndighed og kritiseret, at løsningen kun understøttede en utilstrækkeligt beskyttende version 1.0 af TLS (Transport Layer Security). TLS er et system, der netop gør det muligt at beskytte data gennem kryptering.
I den sag, der medførte kritik fra Datatilsynet, skulle en borger indtaste sit personnummer, da vedkommende brugte selvbetjeningsløsningen.
Slut med TLS 1.0 og 1.1
Efter sin kritik udgav Datatilsynet en nyhed om kravene til kryptering af personoplysninger, som udveksles over internettet.
I nyheden fastslår Datatilsynet, at oplysninger af beskyttelsesværdig karakter, herunder oplysninger om personnummer, fremover skal krypteres med TLS 1.2 eller derover. TLS 1.0 og 1.1 indeholder nemlig sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet.
Datatilsynets konkretisering skal ses i sammenhæng med tilsynets generelle retningslinjer for overførsler af personoplysninger via e-mail og SMS. Heri står der, at muligheden for at falde tilbage på tidligere versioner skal fravælges.
Beskyttelsesværdige personoplysninger
Begrebet "beskyttelsesværdige personoplysninger" er ikke defineret i databeskyttelsesforordningen. I Datatilsynets generelle tekst om kryptering står der dog, at begrebet omfatter "fortrolige og følsomme personoplysninger".
"Følsomme personoplysninger" er ifølge databeskyttelsesforordningen helbredsoplysninger, oplysninger om race eller etnisk oprindelse, politisk overbevisning m.v. Samtlige følsomme personoplysninger er opregnet i forordningens artikel 9, stk. 1.
"Fortrolige personoplysninger" er en særlig kategori af oplysninger, der ikke er defineret udtrykkeligt i databeskyttelsesreglerne. Her er der tale om særlige beskyttelsesbehov, eksempelvis oplysningen om, at en person har hemmelig adresse.
Herudover er personnumre og oplysninger om strafbare forhold særligt beskyttede.
Vil du vide mere om de forskellige kategorier af personoplysninger, kan du læse denne forklaring fra Datatilsynet: Hvad er personoplysninger?