Kryptering er relevant i en GDPR-sammenhæng, da ‘kryptering’ er angivet i lovgivningen, som en teknisk sikkerhedsforanstaltning til at mindske risikoen ved behandlingen af personoplysninger.
Kryptering af persondata gøre data ulæselige for alle, som ikke besidder krypteringsnøglen til disse data.
Er dine data krypterede, så vil uvedkommende ikke kunne læse oplysningerne selvom de fx blev stjålet. Det er denne egenskab, som gør kryptering til en anbefalet sikkerhedsforanstaltning i GDPR-reglerne.
Referencer til kryptering i GDPR-reglerne
Kryptering anbefales i GDPR-reglerne, som en sikkerhedsforanstaltning til at beskytte personoplysninger:
- Artikel 6, stk. 4, litra e) “Lovlig behandling”.
- Artikel 32, stk. 1, litra a) “Behandlingssikkerhed”.
- Artikel 34, stk. 3, litra a) “Underretning om brud på persondatasikkerheden til den registrerede”.
Herudover, så er der også i forordningens præambel 83 en henvisning til, at kryptering kan være en foranstaltning til nedbringe risikoen for dem, som virksomheden behandler personoplysninger omkring.
Hvad er kryptering?
Alt som du kan læse i denne artikel står i et læsbart format (“klartekst”).
Hvis indholdet i denne artikel blev krypteret, så ville teksten være ulæselig for både computeren og læseren. Dermed ville krypteringen sikre fortroligheden af denne information.
Indholdet ville først kunne læses når krypteringen fjernes. Dette gør man med en krypteringsnøgle, som er en slags ‘adgangskode’, der giver adgang til indholdet.
I sin simpleste form, så kan kryptering illustreres, som en ombytning af bogstaver.
Klartekst | A | B | C | D | E |
Krypteret tekst | F | G | H | I | J |
Ved brug af tabellen vil man kunne ‘stave’ ordet “abe” med bogstavkombinationen “fgj”. I dette tilfælde er ‘krypteringsnøglen’, at vi har ombyttet bogstaverne A, B og E med bogstaverne 5 pladser længere nede i alfabetet A→F, B→G, E→J, .
Kryptering er i virkeligheden langt mere kompliceret end dette eksempel, og i praksis ville det tage en almindelig computer flere millioner eller millarder år at bryde de nuværende krypteringsstandarder.
En krypteret tekst kan dekrypteres med en krypteringsnøgle, og det er denne, som modtageren af en krypteret tekst anvender til at læse data. Krypteringsnøglen er en algoritme, som kan afkode det system, som er blevet anvendt til at kryptere data.
Mails og kryptering
Når du sender en krypteret email, så er det typisk ‘rejsen’ via internettet til modtageren, som er krypteret. Datatilsynet kræver, at denne transmission er krypteret, hvis du sender fortrolige eller følsomme personoplysninger via åbne netværk fx internettet.
I det øjeblik, at en krypteret email tikker ind til den rette emailadresse, så afkodes den krypterede besked og opbevares på en server fx din computer eller på en cloudserver. Vær opmærksom på, at det ikke er standard, at mailudbyderne krypterer opbevaringen af mails i din indbakke (“data at rest”), hvilket du kan læse mere om her.
Opbevaring og kryptering
Når personoplysninger er lagret i en fil eller på en computer, mobiltelefon, server, USB-stik, mv., så kan både filen og enheden være krypteret.
I de fleste tilfælde, så skal du aktivt tilvælge, at både filen, samt enheden krypteres, da dette ikke er standard. Se eksempelvis her, hvordan at du krypterer din windowsenhed eller en fil i windows.
Hvilke personoplysninger skal krypteres?
Der er ikke krav om at kryptere alle persondata.
Når du behandler fortrolige eller følsomme personoplysninger, så skal du passe særligt på dine data, og derfor bør du i de fleste tilfælde kryptere disse kategorier af personoplysninger.
Derfor bør du også afklare hvilke persondata, som du bør kryptere ved at tage et kig i din risikovurdering. Hvis risikovurderingen viser, at din behandling ikke medfører en betydelig risiko for de registrerede, så er det ikke nødvendigt at indføre kryptering i din behandling af personoplysninger.
Hvordan bruger jeg kryptering i praksis?
Hvis din virksomhed har behov for at kryptere persondata, så bør I kontakte en IT-ekspert, så I gør det rigtigt.
I kan skade virksomheden ved fx at miste krypteringsnøglen, samt skade jeres kunder, hvis I ikke kan tilgå deres data. Omvendt, så kan jeres kryptering give en falsk tryghed, hvis ikke alle filer og enheder er krypteret korrekt.
Opbevaring af krypteringsnøgler
Hvis du selv opbevarer din krypteringsnøgle, så skal du være særligt opmærksom på, at denne opbevares sikkert. Hvis uvedkommende får adgang til krypteringsnøglen, så vil de kunne læse dine data.
Du skal desuden passe på, at krypteringsnøglen ikke bortkommer, da dette vil betyde, at du heller ikke selv kan læse dine data.
Opbevaring af krypteringsnøglen er derfor et vigtigt element ved kryptering af data.
Alternativer til kryptering
Det er ikke altid muligt, hensigtsmæssigt eller nødvendigt at kryptere personoplysninger.
Din risikovurdering fortæller dig, hvordan at du bør indføre ‘passende foranstaltninger’ til beskyttelse af dine personoplysninger – hvilket eksempelvis kan være kryptering, som nævnt i GDPR-reglerne.
Pseudonymisering eller adgangsbegrænsninger er alternativer til kryptering, som måske vil kunne anvendes som en passende foranstaltning i din situation.
Hvad gør jeg nu?
- Start med at identificere hvilke behandlinger af personoplysninger, som du bør kryptere.
- Til dette kan du bruge din fortegnelse og din risikovurdering.
- Tag fat i en professionel, som kan hjælpe dig med at kryptere data i det omfang, som er passende. Alternativt, så skal du selv undersøge al virksomhedens software og enheder, samt hvordan at kryptering er anvendt eller kan implementeres.