Datatilsynet har afvist en klage, hvor en borger havde klaget over, at Lowell Danmark A/S – der arbejder med credit management – havde sendt fortrolige oplysninger ukrypteret over internettet.
Afgørelsen skal ses som et konkret begrundet eksempel på, at en dataansvarlig kan anvende en opportunistisk TLS 1.2-kryptering (kryptering på transportlaget, der kun virker, hvis modtagerens server understøtter det), når der fremsendes fortrolige oplysninger over internettet. Vel at mærke hvis den dataansvarlige ud fra en risikovurdering korrekt har vurderet, at en sådan opsætning udgør en passende sikkerhedsforanstaltning.
Lowell havde blandt andet lagt vægt på, at det generelt kun er et fåtal af deres modtagere, der benytter sig af meget gamle e-mailklientversioner eller tjenesteudbydere, hvor en e-mail vil blive sendt ukrypteret, og at de konkret vurderer dette for de enkelte modtagere. De e-mails, sagen handler om, var i øvrigt afsendt krypteret på transportlaget til klager.
Efter Datatilsynets opfattelse havde Lowell således ud fra en risikovurdering implementeret passende sikkerhedsmæssige foranstaltninger.
Er du i tvivl om kravene, eller vil du vide mere om kryptering og sikre mails, så kontakt extri:co.