Skip to main content

GDPR-sikkerhed i emails

GDPR og andre internationale regler om privatlivsdata gør jer ansvarlig for at beskytte folks data. Dette indlæg ser på nogle nøglepunkter i GDPR, der gælder e-mail-sikkerhed. Endelig udarbejdes en grundlæggende tjekliste til, når man skal sende og modtage mails med henblik på, at få en sikker og compliant mail-praksis.

GDPR

GDPR kræver, at personoplysninger beskyttes “mod utilsigtet tab, ødelæggelse eller beskadigelse ved hjælp af passende tekniske eller organisatoriske foranstaltninger” såsom kryptering og pseudonymisering af personoplysninger.

CCPA

I henhold til Californiens CCPA  vil din virksomheds ansvar og potentielle bøder blive reduceret, selvom der forekommer et brud, hvis du bruger kryptering. Forbrugere kan anlægge en retssag mod din virksomhed, hvis deres ukrypterede eller uredigerede personlige data er afsløret i et brud, hvis du ikke kan påvise, at du tog skridt til at beskytte mod sådanne brud.

PIPEDA

Canadas databeskyttelseslove kræver, at du “beskytter alle personlige oplysninger (uanset hvordan de opbevares) mod tab, tyveri eller enhver uautoriseret adgang, offentliggørelse, kopiering, brug eller ændring.” Brug passende sikkerhedsforanstaltninger til at yde den nødvendige beskyttelse. “up-to-date teknologiske værktøjer (f.eks. adgangskoder, kryptering, firewalls og sikkerhedsrettelser);”

PIPL

Kinas PIPL kræver, at virksomheder “implementerer teknologiske løsninger for at sikre datasikkerhed” og udfører revisioner af deres behandlingsaktiviteter.

Øvrige love

Vi har kun angivet nogle få forordninger, men de fleste love om databeskyttelse følger dette mønster med at kræve, at virksomheder bruger teknologi og sikkerhedssoftware til at beskytte de personlige og følsomme data, man indsamler og deler.

Ud over ordentlig sikkerhed bør I, når I indsamler data, også få samtykke til at behandle dem. Og I bør altid kunne påvise samtykke i form af dokumentation. Hvis man undlader at gøre dette, kan det medføre store bøder.

At gøre jeres virksomheds mail-praksis klar til sikker datadeling er en vigtig del af overholdelse af databeskyttelsesforordninger, da e-mail stadig er den mest almindelige måde, jeres medarbejdere vil kommunikere med kunder, leverandører, partnere og hinanden på.

Sørg for at I:

  • Har en sikker standard for at dele og indsamle data via e-mail
  • Beskytter data i stilstand og under transport
  • Får samtykke, før I accepterer de data, I anmoder om via e-mail
  • Dokumenterer compliance ved at notere hver deling og anmodning

Lad os tage et kig på disse punkter én efter én.

Tjekliste for e-mailsikkerhed og GDPR-compliance

Har en sikker standard for at dele og indsamle data via e-mail

Et databrud i jeres mailsystem kan enten skyldes en bevidst handling eller et uheld.

Et utilsigtet brud opstår, når nogen, for eksempel:

  • sender en mail til den forkerte person
  • vedhæfter det forkerte dokument til en e-mail
  • bruger CC-feltet i stedet for BCC-feltet
  • videresender en e-mail-tråd, som de ikke er klar over, indeholder personlige oplysninger i meddelelsesteksten eller vedhæftede filer

Forsætlige brud på e-maildata kan skyldes, hvis:

  • I sender eller accepterer personlige data med almindelig post uden kryptering
  • en medarbejder genbruger jeres e-mails og andre personlige data på et nyt job
  • nogen lækker personlige data for økonomisk vinding eller for at skade jeres virksomhed

Etablering af solide, men nemme processer for mail-praksis i hele jeres virksomhed kan øge bevidstheden om databeskyttelse og forhindre databrud.

Beskytter data i stilstand og under transport

Som nævnt kræver GDPR og andre bestemmelser, at I bruger passende tekniske foranstaltninger for at forhindre tab af data og lækager. Derfor bør jeres email-sikkerhed omfatte:

  • Multifaktor-godkendelse – for at bekræfte modtagerens identitet
  • Adgangsbegrænsning – for at beskytte data i hvile
  • Transport Layer Security (TLS) – for at holde data sikre under transport
  • Opbevaringbegrænsning – for at minimere jeres ansvarsrisiko

Får samtykke, før I accepterer de data, I anmoder om via e-mail

Reglerne kræver, at I har et lovligt grundlag for at indsamle data. I de fleste tilfælde bør dette være i form af et samtykke fra dataejeren/den registrerede. Det samtykke, I indhenter, før I accepterer deres data via e-mail, bør være:

  • Informeret. Let at læse og forstå for den registrerede.
  • Frivilligt. Frit givet af den registrerede.
  • Eksplicit. En entydig angivelse af den registreredes ønsker.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Dokumenterer compliance ved at notere hver deling og anmodning

    I bør føre et register for at demonstrere, at I beskytter de personlige data, I råder over. Registret skal kunne vise:

    • en log over de personlige oplysninger, I har delt og indsamlet
    • hvor længe I opbevarer personlige data
    • en kopi af de samtykker, I indhenter

    Den bedste software for email-sikkerhed

    Overordnet set er der tre muligheder, når det gælder en sikker praksis til jeres email-system:

    • Certifikatbaserede løsninger. Dette kræver en lokal installation hos både afsender og modtager.
    • Tunnelpost. Et dansk koncept, med en sikker tunnel etableret mellem to virksomheder. Det kræver også installation hos både afsender og modtager, og det kan ikke nå forbrugerne.
    • En sikker e-mail-portal. Det er den løsning, vi anbefaler. Det kræver ikke certifikater eller speciel installation.

    Den bedste løsning til e-mailsikkerhed er den, jeres medarbejdere vil bruge hver gang de deler eller indsamler personlige data. Løsningen skal fungere, uanset om I befinder jer på kontoret, på farten eller eksternt. Det skal være hurtigt og nemt at bruge til alle typer filer (inklusive store filer). Endelig skal løsningen være intuitiv at bruge, så jeres medarbejdere ikke bliver fristet til at omgå det for at spare tid.

    Sådan kan vi hjælpe jer

    Prøv Safe Onlines brugervenlige e-mailsikkerhedstilføjelse til Microsoft-e-mails, ShareSimple. ShareSimple lader jer dele personlige og følsomme data sikkert, direkte i Outlook.

    Instant setup

    No certificates

    Cost-effective

    ShareSimple kan prøves gratis fra AppSource-butikken.

    Det er den nemmeste måde at få den e-mailsikkerhed, I skal bruge for at overholde GDPR og andre regler.

    1. Hent tilføjelsen fra Microsoft AppSource
    2. Start en ny besked
    3. Åbn det sikre ShareSimple-vindue

    Træk og slip filer, tilføj en note, eller opret en hurtig og sikker dataanmodningsformular.

    Nem træk-og-slip fildeling
    Vælg lag af sikkerhed

    Del og anmod om data hurtigt med alle, uanset deres e-mail-server eller hvor de er i verden. ShareSimple opfylder de krav til e-mailsikkerhed og overholdelse, vi lige har gennemgået, fordi det:

    Giver en sikker standard måde for hele dit team at dele og indsamle data
    Beskytter data i hvile og under transport med avanceret sikkerhed
    Får automatisk samtykke, før du accepterer de data, du anmoder om via e-mail
    Logger al aktivitet i tilfælde af revision

    Tal med jeres ledelse om at få ShareSimple til hele jeres team, eller Prøv det nu →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR