Findes sikker Email

[Finn Bjerke]

MIne psykolog kolleger spørger om man kan sende person sensitive oplysninger med (krypteret ) email? Jeg er ikke up to date på emnet.

Findes der sikret email eller er vi alle overvågede ?

[AJenbo]

Du kan godt kryptere en Email, hvor vidt det lever til sikkerheds krav bør du spøge en ekspert om

[NickyThomassen]

Hvis du med personsensitiv mener et CPR-nummer, så er svaret nej, det må man ikke.

Persondataloven bliver normalt fortolket på en måde som gør, at du som databehandler, skal opfylde nogle krav, som normalt ikke kan lade sig gøre sådan som e-mail fungerer.

Du skal bl.a. vide hvilken fysisk computer et givent CPR-nummer er på, hvem der har adgang udover dig og du skal kunne give agtindsigt, rette i oplysninger og slette oplysninger som ejeren ikke vil have du har (medmindre fx bogføringsloven påbyder dig at gemme dem). Og data må ikke forlade Danmark.

For at leve op til ovenstående ville du skulle drive e-mail-serveren selv (eller på vegne af dig). Men du ville kun kunne sende oplysningerne til modtagere som lever op til det ovenstående, medmindre du får en skriftlig tilladelse fra ejeren af oplysningerne.

Men det er hvad loven siger. Mængden af sager hvor den bliver groft overtrådt uden at det har konsekvenser, kunne godt tyde på at Danmark ikke længere har en offentlig myndighed som kan varetage den. Hvilket vil sige at opgaven ofte lander hos Politiet.

[NickyThomassen]

For den anden del af dit spørgsmål, som Anders også svarer på, er det nok et forsigtigt måske.

Man kan bruge GNU Privacy Guard til at kryptere en e-mail når man sender den, og hvis alle e-mails samtidig bliver opbevaret på et krypteret drev, så burde du være rimeligt godt sikret. Hvis du så samtidig har din egen e-mail server stående i privaten, så begynder det at ligne noget, for reglerne for hvornår myndighederne må kigge i dine data, varierer alt efter om du selv opbevarer dem, eller om en virksomhed opbevarer dem for dig.

Vær opmærksom på problemet med at data forlader Danmark, for hvis de gør det, så er der ikke nogen lov som beskytter dem.

Bemærk også at programmer som GnuPG sikrer 2 ting: at den sendte e-mail ikke er blevet ændret når den ankommer, og/eller at ingen har kunne læse den undervejs. Hvis du gør brug af funktion #2, så kan du være rimelig sikker på at modtageren heller ikke kan læse den, for det er meget få folk der gør brug af den mulighed.

De her problemer var i øvrigt grunden til at vi fik Digital Post.

[Christian.Arvai]

Du skal have en databehandleraftale med udbyderen af mailkontoen. Desuden skal server til mails ligge i EU. Google har måtte bygge et datacenter i Tyskland, blot for at holde den del af kravende.

https://www.datatilsynet.dk/erhverv/dat ... behandler/

Så snart at vi snakker om sundhedsdata, er det meget besværligt at holde loven. Nu vi er ved loven, så er det sikkert heller ikke det samme i Norge, så du er nødt til at undersøge præcist hvordan at lovgivningen er i Norge.

[NickyThomassen]

Du skal have en databehandleraftale med udbyderen af mailkontoen. Desuden skal server til mails ligge i EU. Google har måtte bygge et datacenter i Tyskland, blot for at holde den del af kravende.

Ser ud til at du har ret med at data bare skal være i EU, i hvert fald ifølge persondataloven

§ 4. Loven gælder for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.

Så kan det undre at Datatilsynet ligger vægt på om data er i Danmark, EU eller andets sted

om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland

https://www.version2.dk/artikel/datatil ... uner-15352

[Finn Bjerke]

tak for meget hjælpsomme svar...