Datatilsynet har meddelt, at de skærper deres praksis mht. kryptering af personoplysninger for private virksomheder pr. 1. januar 20191 – et krav der allerede gælder for offentlige myndigheder. Dette betyder, at der nu for private virksomheder gælder krav om kryptering af ikke blot følsomme personoplysninger, men også fortrolige oplysninger.
Databeskyttelsesregler opererer midlertidigt kun med to kategorier af oplysninger – de almindelige personoplysninger i artikel 6 og de følsomme personoplysninger i artikel 9 – så hvad er fortrolige oplysninger? Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.
Fortrolige oplysninger kan bedst beskrives som de oplysninger, der ligger én meget nært, dvs. oplysninger vi ikke vil have, at hvem som helst ved. Dette kan f.eks. være oplysninger om vores løn, bankkontonummer, sociale arv og karakter.
De nye krav fra Datatilsynet om kryptering af følsomme personoplysninger, samt fortrolige oplysninger, kan give hovedpine for firmaer rundt omkring i landet, da kryptering af e-mails kan være en langhåret affære.
Almindelig e-mail kryptering kan forklares ved, at både modtager og afsender har en privat og en offentlig nøgle, og det er kombinationen af disse nøgler der muliggør kryptering og dekryptering af e-mailen.
Udfordringen er udvekslingen af disse nøgler. For at sende en krypteret e-mail fra A til B, skal A have B’s offentlige nøgle og omvendt. Det vil sige at for at firma A kan sende krypteret til kunde B, skal de først udveksle nøgler – og hvordan gør man det?
Lyder det en smule langhåret? Det er det også, men bare rolig. Microsoft har den perfekte, simple løsning til kryptering af e-mails. Det hedder Office 365 Message Encryption (OME).
Har du Office 365 og benytter du Exchange Online, samt Microsoft Office 365 Pro Plus pakken på dit firmas computere, så er du klar til at benytte OME kryptering.
I stedet for at kryptere alle e-mails som sendes ud af firmaet, kan man lave en selektiv kryptering ved hjælp af regler på Exchange Online serveren. Disse regler kan for eksempel diktere, at e-mails som indeholder et CPR-nummer altid krypteres. Denne løsning er baseret på Microsofts Data Loss Prevention – populært kaldet DLP.
DLP kan også hjælpe dine ansatte med ikke at sprede følsomme firmaoplysninger. DLP-regler scanner nemlig kontinuerligt e-mails mens de skrives, samt vedhæftede filer, og hvis ord eller en talkombination optræder i e-mailen eller den vedhæftede fil, så kan brugeren advares med en lille besked i Outlook – også kaldet et policy-tip.
Med DLP har du rigtig mange muligheder for at sikre dit firmas data; du kan for eksempel også vælge at blokere en e-mail fra at blive sendt – medmindre brugeren kan komme med en begrundelse for at afsende e-mailen. DLP kan sættes op til at sende en notifikation til nærmeste leder, eller anden mailboks, hvis der sker et databrud.
Derudover kan du også vælge den lydløse metode,og kryptere e-mailen automatisk, hvis den indeholder data, som er fundet følsomt af firmaet.
Nu spørger du nok dig selv: ”Hvad nu med mine kunder, som ikke benytter Office 365?” – Ingen problemer.
Er modtageren ikke Office 365 bruger, så kan e-mailen stadig læses. Modtageren af den krypterede mail, får en notifikationsmail, om at de skal logge på med en engangskode, og derefter oprettes modtageren som gæstebruger på afsenderens Office 365, og kan derved læse og besvare e-mails igennem en Outlook web klient. Syntes du at standardformateringen på notifikationsmailen er kedelig – intet problem. Den kan redigeres og designes, så det er tydeligt, at den kommer fra dit firma.
Det smarte ved OME-løsningen er, at data aldrig forlader firmaets Office 365 løsning. Det er endda umuligt at markere teksten i web-mailen, så det kan klippe-klistres ind andre steder.
Dine kunder kan også benytte den gratis OME-viewer app, som fås både til Android og iOS enheder.
Kryptering af e-mails behøver ikke at være besværligt.