EU - GDPR
Kryptering af personoplysninger
Kryptering af personoplysninger er både en almindelig og god teknisk sikkerhedsforanstaltning, der skal træffes for at beskytte personoplysninger. En virksomhed skal ikke kun bruge kryptering i forbindelse med opbevaring af personoplysninger, men det kan også være nyttigt at bruge, når der overføres personoplysninger.
Hvad betyder kryptering
Kort sagt betyder kryptering, at det konverterer læsbare data til en form for forvrænget tekst. En sådan forvrænget tekst kan da kun afkodes med en hemmelig nøgle, der gør teksten læsbar igen. For eksempel kan den hemmelige nøgle bestå af en talkombination, der oprettes på den enhed, som krypteringen sendes fra, samt på den enhed, som den krypterede meddelelse sendes til.
Kryptering af personoplysninger er en god teknisk foranstaltning at tage
Når en matematisk funktion sammen med en krypteringsnøgle konverterer dataene, så de bliver læsbare, udgør det en kryptering. Med andre ord kan de krypterede data ikke læses, hvis du kun har krypteringsnøglen eller -funktionen.
Det er godt, hvis virksomheden bruger kryptering som en teknisk sikkerhedsforanstaltning, når virksomheden sender personoplysninger over åbne netværk, såsom internettet. Et eksempel på dette er at sende krypterede e-mails.
Lønspecifikationer med følsomme personoplysninger
Det er almindeligt, at lønsedler indeholder oplysninger om medarbejderens sygefravær, som er helbredsoplysninger og dermed følsomme personoplysninger i henhold til GDPR. Hvis lønsedlen indeholder oplysninger om sygefravær, er det ikke tilladt at maile lønsedlen til medarbejderne, medmindre beskeden er krypteret. Før GDPR trådte i kraft i 2018, var det almindeligt for arbejdsgivere at e-maile lønsedler ukrypteret, men det er ikke længere tilladt, fordi det ikke er sikkert nok.
Virksomheder skal beskytte personoplysninger mod uautoriseret adgang
En virksomhed skal beskytte personoplysninger mod uautoriseret adgang, da det udgør et brud på persondatasikkerheden. Bare fordi en virksomhed kan behandle personoplysninger, betyder det ikke nødvendigvis, at det er nødvendigt for alle i virksomheden at have adgang til dem. I sådanne tilfælde kan det være nyttigt at bruge krypteringsnøgler, så kun de medarbejdere, der vil og skal have adgang til personoplysninger, får det.
Tips til kryptering af personoplysninger
Behovsanalyse
Ved at udføre en behovsanalyse kan virksomheden f.eks. finde ud af, hvilke personoplysninger og i hvilke situationer kryptering er hensigtsmæssig. Det er også nyttigt at analysere, hvilken form for krypteringstjenester der er passende i sagen, såsom en cloud-tjeneste.
Dokumentation
Virksomheden bør dokumentere hele analysen, da det er en måde at påvise, at virksomheden overholder GDPR i overensstemmelse med princippet om ansvarlighed. Dette er især vigtigt, hvis personoplysningerne er særligt beskyttelsesværdige, f.eks. personoplysninger, der er følsomme over for privatlivets fred.
Vejledning
Det er vigtigt, at de, der modtager en krypteringsnøgle, også ved, hvordan de skal bruge den, hvad de må gøre med personoplysningerne osv. Derfor er det godt at udarbejde skriftlige instrukser til medarbejderne om kryptering og krypterede data.
Sikkerhed
Sørg for, at krypteringstjenesten er sikker nok ved at gøre ordentlig forskning. Det er godt at bruge en krypteringstjeneste, der er bredt anerkendt. Derudover er det vigtigt at beskytte krypteringsnøglerne, så ingen uautoriserede personer kan få adgang til dem.
End-to-end-kryptering
End-to-end kryptering betyder, at personoplysningerne sendes krypteret hele vejen til modtageren fra afsenderen. Dette er især vigtigt, når personoplysninger klassificeres som følsomme i henhold til artikel 9 i GDPR. Det kan dog være nyttigt at gøre det, selv om det vedrører personoplysninger, der er følsomme over for privatlivets fred.
Læs mere om GDPR
Netværkssegmentering
En måde at beskytte personlige data mod uautoriseret adgang er gennem netværkssegmentering. Med andre ord at opdele datanetværk i flere undernetværk, således at kun det nødvendige findes i dette segment. Kort sagt betyder det, at for eksempel systemer eller servere, der ikke behøver at kommunikere med hinanden, ikke gør det.