Overførsel af persondata via internettet

Få indblik i Datatilsynets vejledning til persondatalovens krav vedr. databeskyttelse i forhold til private virksomheder og organisationer.

iStock-529418972.jpg

Udveksling af persondata via internettet medvirker til styrkelsen af e-handel i EU, men med indførelsen af EUs databeskyttelsesforordning får beskyttelse af persondata mod misbrug øget fokus.

Den nye forordning og den danske persondatalov har begge til formål at skabe balance mellem fri kommunikation via internettet og beskyttelse af persondata.

Flere typer af beskyttelse

For at forstå lovgivningen er det vigtigt at holde for øje, at Datatilsynet sondrer mellem kommunikation via internettet (f.eks. webformular) og kommunikation via e-mail.

Derudover skelnes der mellem forskellige typer beskyttelse.

Lad os starte med at kigge på de forskellige typer beskyttelse, som Datatilsynet skelner mellem i forbindelse med overførsel af data, både via internettet og e-mail:

Anonymisering

Den registrerede kan ikke længere identificeres ved f.eks. personnummer.

Pseudonymisering

F.eks. et personnummer, som erstattes med pseudonymer (”koder”), der vil være unikke identifikatorer. F.eks. kan personnummer erstattes af en kode, som kan genfindes på en separat liste Pseudonymisering er altså ikke det samme som anonymiserede oplysninger.

Kryptering

Kommunikationen via hjemmesider kan sikres ved hjælp af SSL-certifikater. Krypterede data skal ligesom pseudonymiserede data leve op til kravene i persondataloven, idet der stadig er tale om persondata.

Et SSL-certifikat beskytter datatrafikken mellem en hjemmeside og de besøgende. Dermed kan kundedata ikke opsnappes, når der indtastes navn, adresse, kortoplysninger eller andre følsomme oplysninger. Oplysningerne bliver nemlig krypterede, så det kun er din server, der kan afkode data.

Ifølge Datatilsynet SKAL dette ske i forbindelse med overførsel af CPR-numre via hjemmesider. Datatilsynet anbefaler desuden, at overførsel af almindelige private (fortrolige) persondata via hjemmesider beskyttes ved kryptering.

Overførsel af persondata fra virksomhed til bruger

I forbindelse med EUs persondataforordning indføres en regel om, at brugeren kan få udleveret sine egne data fra virksomheder. Det betyder, at der også stilles krav til sikkerheden i denne proces og ikke kun, når brugerne indsender data til virksomheden.

Datatilsynets stiller udtrykkeligt krav om kryptering ved overførsel af følsomme oplysninger (f.eks. navn, adresse, telefonnr., mailadresse) via hjemmesider, ved overførsel af CPR-numre via hjemmesider, samt i tilfælde, hvor behandlingen af persondata i den private sektor sker efter tilladelse, med vilkår om konkrete sikkerhedsforanstaltninger ved overførsel over internettet.

Kommunikation via e-mail

Som nævnt er det ikke blot kommunikation via websites, der er omfattet Datatilsynets anbefalinger. Kommunikation via e-mail bliver betragtet på en anden måde og får dermed også nogle særskilte anbefalinger.

Datatilsynet anbefaler kryptering, når følsomme persondata sendes med e-mail via internettet. Datatilsynet anbefaler desuden, at der anvendes kryptering, når en e-mail eller et vedhæftet dokument indeholder følsomme persondata, eksempelvis CPR numre og som sendes via internettet.

På grund af CPR nummerets særlige karakter anbefaler Datatilsynet, at CPR numre kun sendes via internettet, når der anvendes kryptering. Det er tilsynets vurdering, at det i mange tilfælde vil være muligt for virksomheder, der ønsker at benytte e-mail uden kryptering, at undlade at anføre CPR nummeret i den e-mail eller det dokument, som fremsendes.

Det gælder også i situationer, hvor en virksomhed ønsker at besvare en e-mail fra en privat person, hvori personen selv har sendt sit CPR nummer uden brug af kryptering.

Når password og lignende sendes med e-mail via internettet, bør mailen også være krypteret.

Oplysninger, der opbevares i en database

Alle personoplysninger skal håndteres i overensstemmelse med god dataskik og opbevares på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger.

Det kan være ift. uautoriseret eller ulovlig behandling eller sikring mod hændelige tab, tilintetgørelse eller beskadigelse. Derudover må personoplysninger ikke opbevares i længere tid, end det er nødvendigt ift. de formål, som de pågældende personoplysninger anvendes til.

Personoplysninger kan opbevares i længere tid, men så skal de alene bruges til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. Men det er under forudsætning af, at der er passende tekniske og organisatoriske foranstaltninger, der sikrer den registreredes generelle rettigheder og frihedsrettigheder.

Sådan kan det se ud i praksis

For at anskueiggøre hvordan datatilsynets vejledninger kommer til udtryk i daglig praksis, har vi eksemplificeret overnstående elementer i en virksomhed.

Virksomheden anvender en webformular til udfyldelse af refusion for transport, honorar, mm og i deres webformular er der et felt til udfyldelse af CPR nummer. Disse oplysninger sendes derudover via e-mail, inkl. CPR nummer.

Vi har dermed følgende scenarier, som alle er omfattet af persondataloven:

  • Overførsel af persondata via internettet; webformular
  • Overførsel af persondata via e-mail
  • Behandling af persondata i database

Men præcist hvilke data skal beskyttes og hvordan? Er det f.eks. kun CPR nummer feltet, der evt. skal krypteres, hele databasen eller kun de relevante tabeller?

I det konkrete tilfælde, hvor bl.a. e-mail og CPR nummer registreres i webformularen, er der tale om 2 forskellige typer data. Navn, adresse, mailadresse etc. er såkaldt §6 data (lovlig behandling af ikke-følsomme data), hvor der ingen regler findes.

Derimod er CPR numre følsomme data og skal behandles som sådan (følsomme oplysninger, GDPR, artikel 9, stk. 1).

Sikkerhed og adgang til egne data

Hvis de besøgende via virksomhedens hjemmesiden får adgang til persondata, f.eks. om sig selv, skal der også skabes sikkerhed for, at dataene ikke udleveres til uvedkommende. Dette kan ske ved anvendelse af NemId eller digital signatur.

Hvis der gives adgang til følsomme persondata, anbefaler Datatilsynet brug af digital signatur.

c698d3aa7dec2c8dc43e9cfe5187551d390bbe81.jpg

Ud over datatilsynets råd, vil vi anbefale, at der bør være et SSL-certifikat på samtlige websites hvor persondata overføres via internettet og e-mail. Det kan være i forbindelse med login, formularer, e-handel med mere.

SSL-certifikatet krypterer som nævnt dataoverførslen mellem server og browser, og sikrer, at data har vanskeligt ved at ryge i de forkerte hænder. Derudover anbefaler vi at kryptere felter i en database, hvor følsomme oplysninger opbevares, f.eks. CPR nummer fra webformular.

Har du brug for vejledning?

Vi er eksperter i den nye persondataforordning og vi har helt sikkert en løsning til dine udfordringer med persondata, databehandling og meget mere.

Så har du spørgsmål eller brug for hjælp? Skriv til mig. Jeg kan med garanti udforme en løsning til dig.

Lad mig kontakte dig

Jim Vestergaard

CSO

(+45) 22 91 96 84

jiv@redweb.dk