Danmark: Myndigheter och företag måste säkerställa kryptering vid överföring av personuppgifter via e-post och andra digitala kanaler

De flesta myndigheter och företag hanterar kontakter med medborgare eller kunder via digitala kanaler som e-post, e-tjänster, webbportal eller appar. Enligt den danska dataskyddsmyndigheten Datatilsynet bör myndigheter och företag inte uppmuntra medborgare och kunder att skicka personuppgifter av känslig eller konfidentiell natur via osäkra digitala kommunikationslösningar. Kravet innebär att myndigheter och företag ska tillhandahålla digitala kommunikationslösningar som krypterar informationen vid överföring.

Datatilsynet skriver i sitt pressmeddelande att myndigheter och företag har en skyldighet att implementera lämpliga säkerhetsåtgärder vid användning av digitala kommunikationslösningar med medborgare eller kunder. Detta innebär bland annat att myndigheter och företag måste tillhandahålla säkra (dvs. krypterade) överföringslösningar vid sådan kommunikation. Kravet gäller inte bara när myndigheter och företag skickar information till medborgare eller kunder via digitala kanaler utan även när de samlar in information via digitala kanaler. Datatilsynet preciserar dock inte vilken nivå av kryptering som krävs, till exempel om det kan vara tillräckligt med att tillhandahålla stöd för Transport Layer Security (TLS) eller om det krävs end-to-end kryptering.

Enligt Datatilsynet (som har diskuterat frågan med andra europeiska dataskyddsmyndigheter) motiveras kravet av att myndigheter och företag är personuppgiftsansvariga för behandling av personuppgifter som sker i samband med att de begär att medborgare eller kunder skickar personuppgifter via digitala kanaler. Resonemanget bakom kravet är att myndigheter och företag bestämmer ändamålen (villa uppgifter som är nödvändiga för att hantera ett ärende eller för att tillhandahålla en tjänst) och medlen (på vilket sätt uppgifterna ska samlas in) för denna personuppgiftsbehandling. Detta resonemang påminner om ett mål i Högsta förvaltningsdomstolen (”HFD”) där domstolen ansåg att Försäkringskassan var personuppgiftsansvarig för behandling av personuppgifter i samband med tillhandahållande av elektroniska självbetjäningstjänster. Personuppgiftsansvaret förelåg redan innan uppgifterna blev tillgängliga för Försäkringskassan (HFD 2012:21). Resonemanget ligger också i linje med gällande rättspraxis från EU-domstolen som tidigare sagt att begreppet personuppgiftsansvarig ska ha en extensiv tolkning (se exempelvis C-131/12, Costeja) och att tillgång till personuppgifter inte är en förutsättning för att klassas som personuppgiftsansvarig (se exempelvis C-210/16, Wirtschaftsadakemie).

Datainspektionen har uttalat sig om kryptering av e-post i flera tillsynsärenden (se exempelvis 1713-2013). Vidare har Datainspektionen tagit fram en vägledning för säker behandling av personuppgifter i e-post (läs mer om detta här).

Läs Datatilsynets pressmeddelande, endast tillgänglig på danska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.