De flesta myndigheter och företag hanterar kontakter med medborgare eller kunder via digitala kanaler som e-post, e-tjänster, webbportal eller appar. Enligt den danska dataskyddsmyndigheten Datatilsynet bör myndigheter och företag inte uppmuntra medborgare och kunder att skicka personuppgifter av känslig eller konfidentiell natur via osäkra digitala kommunikationslösningar. Kravet innebär att myndigheter och företag ska tillhandahålla digitala kommunikationslösningar som krypterar informationen vid överföring.
Datatilsynet skriver i sitt pressmeddelande att myndigheter och företag har en skyldighet att implementera lämpliga säkerhetsåtgärder vid användning av digitala kommunikationslösningar med medborgare eller kunder. Detta innebär bland annat att myndigheter och företag måste tillhandahålla säkra (dvs. krypterade) överföringslösningar vid sådan kommunikation. Kravet gäller inte bara när myndigheter och företag skickar information till medborgare eller kunder via digitala kanaler utan även när de samlar in information via digitala kanaler. Datatilsynet preciserar dock inte vilken nivå av kryptering som krävs, till exempel om det kan vara tillräckligt med att tillhandahålla stöd för Transport Layer Security (TLS) eller om det krävs end-to-end kryptering.
Enligt Datatilsynet (som har diskuterat frågan med andra europeiska dataskyddsmyndigheter) motiveras kravet av att myndigheter och företag är personuppgiftsansvariga för behandling av personuppgifter som sker i samband med att de begär att medborgare eller kunder skickar personuppgifter via digitala kanaler. Resonemanget bakom kravet är att myndigheter och företag bestämmer ändamålen (villa uppgifter som är nödvändiga för att hantera ett ärende eller för att tillhandahålla en tjänst) och medlen (på vilket sätt uppgifterna ska samlas in) för denna personuppgiftsbehandling. Detta resonemang påminner om ett mål i Högsta förvaltningsdomstolen (”HFD”) där domstolen ansåg att Försäkringskassan var personuppgiftsansvarig för behandling av personuppgifter i samband med tillhandahållande av elektroniska självbetjäningstjänster. Personuppgiftsansvaret förelåg redan innan uppgifterna blev tillgängliga för Försäkringskassan (HFD 2012:21). Resonemanget ligger också i linje med gällande rättspraxis från EU-domstolen som tidigare sagt att begreppet personuppgiftsansvarig ska ha en extensiv tolkning (se exempelvis C-131/12, Costeja) och att tillgång till personuppgifter inte är en förutsättning för att klassas som personuppgiftsansvarig (se exempelvis C-210/16, Wirtschaftsadakemie).
Datainspektionen har uttalat sig om kryptering av e-post i flera tillsynsärenden (se exempelvis 1713-2013).