Siden år 2000 har offentlige myndigheder været pålagt at anvende kryptering, når der sendes mails med fortrolige og følsomme oplysninger.
Nu bliver det så også et krav, at den private sektor anvender kryptering af digitale forsendelser af fortrolige og følsomme personoplysninger med e-mail via internettet.
Siden 2008 har denne praksis kun været en anbefaling for den private sektor.
Tilsynet begrunder blandt andet beslutningen med databeskyttelsesforordningens krav.
EU's databeskyttelsesforordning stiller krav om, at dataansvarlige skal anmelde brud på persondatasikkerheden til Datatilsynet. Tilsynet har udsendt en vejledning i, hvordan det kan ske i praksis.
Vejledningen indeholder blandt andet en definition af, hvornår der er tale om et brud på persondatasikkerheden. Ifølge forordningen er det: "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."
EU's databeskyttelsesforordning (GDPR) stiller krav til indholdet af databehandleraftaler. Det er de aftaler, som en dataansvarlig (fx en myndighed) indgår med firmaer, der behandler data på deres vegne.
Aftalen angiver, hvordan databehandleren skal behandle de personoplysninger, der indgår som led i opgaven. Herunder ligger også kravene til beskyttelse af data – altså informationssikkerhed.
Datatilsynet har nu udarbejdet en skabelon, som myndigheder og virksomheder kan tage udgangspunkt i.
