ITWatch

Datatilsynet udtaler skarp kritik for ukrypteret mail

Følsomme oplysninger i en ukrypteret mail har fået Datatilsynet til at udtale skarp kritik. 13.000 skoleelevers personlige oplysninger sendt.

Foto: Silkeborg Kommune

Datatilsynet udtaler skarp kritik af Silkeborg Kommune, der ikke har haft passende sikkerhedsforanstaltninger implementeret, da kommunen sendte en mail med personfølsomme oplysninger.

Det skriver Datatilsynet i en pressemeddelelse.

Mailen fra Silkeborg Kommune indeholdt CPR-nummer, skolenavn og skolekode på næsten 13.000 skoleelever. Mailen blev sendt til Danmarks Statistik Consulting.

Ifølge Silkeborg Kommune er der tale om en menneskelig fejl, og ikke på baggrund af manglende foranstaltninger. Der var, oplyser kommunen til tilsynet, implementeret TLS (Transport Layer Security) på tidspunktet for afsendelsen, og at man derfor antager, at mailen var krypteret i transporten mellem afsender og modtager.

Det har Silkeborg Kommune dog ikke kunnet dokumentere i tilstrækkelig grad. Det ville dog langt fra være en god nok sikkerhed, lyder det fra Datatilsynet.

"Det er generelt Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed, når der sendes mange fortrolige og/eller følsomme personoplysninger," lyder det fra tilsynet i pressemeddelelsen.

Årsagen er, at skulle en tredjemand få fingre i e-mailen, vil det vedhæftede dokument ikke længere være krypteret og vil derfor kunne tilgås. Derfor bør der være kryptering andre steder end blot i transportlaget.

Bagmænd truer Illum med at offentliggøre brugerdata

Datatilsynet sender kritik afsted mod Region Nordjylland 

Mere fra ITWatch

Læs også

Relaterede

Seneste nyt

Se flere jobs