Når du alligevel skal kryptere mails

March 15, 2019 at 15:53

Siden 1. januar 2019 har vi nu også, i den private sektor, skulle kryptere de mails vi sender, hvis de indeholder følsomme persondata samt fortrolige persondata. Men hvordan griber du det an, og hvad skal du være opmærksom på?


Der er to former for kryptering og i dette blogindlæg kommer jeg ind på selve transportlaget, hvor den mest benyttede udgave kaldes TLS. Der findes også løsninger, der krypterer selve indholdet af mailen, f.eks. en gammel kending som Pretty Good Privacy (PGP).   

Problematikken ved at kryptere mails i transportlaget er, at modtagerens mailserver skal kunne understøtte det. Hvis modtagerens mailserver kun kan læse klar tekst, kan du risikere, at modtageren ikke får beskeden. Langt de fleste mailservere vil dog give besked om at en mail ikke kan leveres, men du bør sikre at jeres egen mailserver giver besked, hvis en mail ikke kan leveres.

Du skal derfor være opmærksom på følgende:

  •     Hvis du bruger en on-premise løsning, så skal du sikre dig, at du selv har konfigureret det på en måde, der understøtter modtagelse og afsendelse af krypteret mails.
     
  •     Hvis du har en hostet cloud løsning, så skal du sikre dig, at løsningen understøtter modtagelse og afsendelse af krypteret mails. Det gør de fleste gængse services, der kan dog være konfigureringsmæssige ting, der skal være på plads. Så spørg altid din leverandør.


Når du alligevel er i gang:
Så vil jeg anbefale, at du kigger på din mailopsætning. Er det opsat efter Best Practice, og får du nok ud af det? Jeg vil også anbefale at I kigger på jeres arbejdsgange: Hvordan bruger I - i virksomheden mail – hvad er jeres kultur? Hvordan minimerer I brugen af e-mail med fortrolig information, således at I også minimerer risikoen for datalæk?


Min anbefaling til jer:
Jeg vil anbefale, at I bruger en Data Loss Prevention (DLP) løsning til at sikre, at der enten bliver stoppet eller advaret, når der sendes og modtages fortrolig information. Det kan give flere gevinster udover, at I er GDPR-compliant. Her ville du også opdage, hvis der er andet end personfølsomme data, der sendes frem og tilbage, f.eks. fortrolig information som sagsnumre, kreditkort oplysninger eller andet identificerbar Intellektuel Property (IP).

Vil du gerne vide mere?
Hvis du gerne vil vide mere om kryptering, GDPR og Best Practice, så tag endelig fat i mig eller en af mine kolleger.