Kryptering
Kryptering er en teknisk foranstaltning, der omdanner personoplysninger til ulæselig tekst, som kun kan læses med den korrekte nøgle. GDPR nævner specifikt kryptering som en passende sikkerhedsforanstaltning og kan i visse tilfælde reducere konsekvenserne af et databrud væsentligt.
Kryptering i hvile og i transit
Der skelnes mellem to hovedtyper af kryptering: kryptering i hvile (at rest) beskytter data, der er lagret på diske, databaser eller backupmedier, mod uautoriseret adgang hvis det fysiske medie kompromitteres. Kryptering i transit (in transit) beskytter data under overførsel mellem systemer, fx via HTTPS/TLS for webkommunikation eller VPN for netværksforbindelser. En robust sikkerhedsstrategi omfatter begge typer.
Krypteringsstandarder
GDPR specificerer ikke hvilke krypteringsalgoritmer der skal bruges, men anbefaler, at virksomheder følger anerkendte standarder. AES-256 er den mest udbredte standard for symmetrisk kryptering og anses for tilstrækkelig sikker. For asymmetrisk kryptering (fx nøgleudveksling) bruges RSA med minimum 2048-bit nøgler eller elliptisk kurve-kryptografi (ECC). TLS 1.2 eller nyere bør bruges til alle forbindelser.
Kryptering og databrud
Kryptering spiller en særlig rolle ved databrud. Ifølge GDPR's artikel 34 behøver den dataansvarlige ikke underrette de registrerede om et brud, hvis oplysningerne var krypteret med en algoritme, der gør dem uforståelige for uautoriserede. Det reducerer dog ikke pligten til at anmelde bruddet til Datatilsynet inden 72 timer. Effektiv kryptering kan således begrænse de praktiske og juridiske konsekvenser af et databrud betydeligt.
Vigtigste punkter
- GDPR nævner specifikt kryptering som passende sikkerhedsforanstaltning
- Implementer kryptering både i hvile (at rest) og i transit
- AES-256 og TLS 1.2+ er anerkendte standarder
- Kryptering kan reducere anmeldelsespligten ved databrud
- Nøglehåndtering er lige så vigtig som selve krypteringen