Datatilsynet finder ingen kritik i tilsyn med BDO's kryptering af e-mails

Datatilsynet gennemførte i 2019 et tilsyn hos BDO Statsautoriseret revisionsaktieselskab for at vurdere virksomhedens behandlingssikkerhed, særligt vedrørende kryptering af e-mails. Tilsynet blev iværksat som en del af en større undersøgelse af behandlingssikkerheden hos udvalgte virksomheder.

Datatilsynet fokuserede på, hvordan BDO håndterede fremsendelse af fortrolige og følsomme personoplysninger via e-mail over internettet. BDO oplyste, at de sjældent sender personoplysninger via e-mail i revisionsmæssig sammenhæng, men at det forekommer i forbindelse med skatterådgivning, hvor selvangivelser med personnumre kan blive sendt.

BDO forklarede, at de primært kommunikerer med kunder via en sikker webplatform kaldet MIT BDO eller via krypteret e-mail. Virksomheden anvender forskellige krypteringsløsninger i prioriteret rækkefølge: end-to-end kryptering via tunnelmail, S/MIME certifikater, og tvungen TLS 1.2 forbindelse. Hvis ingen af disse metoder er mulige, får medarbejderen en fejlmeddelelse, og det er op til medarbejderens vurdering, om e-mailen skal sendes ukrypteret med opportunistisk TLS.

Datatilsynet undersøgte også BDO’s risikovurdering vedrørende fremsendelse af fortrolige og følsomme personoplysninger over internettet. BDO havde udarbejdet en risikovurdering, der identificerede en høj risiko, som blev reduceret ved brug af de nævnte krypteringsteknologier. Derudover havde BDO udarbejdet en vejledning til medarbejderne om brugen af krypteret e-mail og gennemført undervisning i håndtering af sikkerhedsbrud.

Konklusion

Datatilsynet fandt, at BDO's behandling af personoplysninger i forbindelse med fremsendelse af fortrolige og følsomme personoplysninger via e-mail over internettet var i overensstemmelse med databeskyttelsesforordningens artikel 32 og Datatilsynets retningslinjer. Datatilsynet afsluttede tilsynet uden yderligere tiltag.

Datatilsynet lagde vægt på:

• At BDO anvender end-to-end kryptering med S/MIME certifikater via tunnelmail.
• At BDO anvender kryptering på transportlaget via tvungen TLS 1.2.
• At BDO har udarbejdet en risikovurdering i overensstemmelse med Databeskyttelsesloven § 5, stk. 2, jf. Databeskyttelsesloven § 5, stk. 1, litra f, jf. databeskyttelsesforordningens artikel 32, stk. 1 og 2.
• At BDO ikke er bekendt med tilfælde, hvor fortrolige eller følsomme personoplysninger er sendt ukrypteret over internettet siden 1. januar 2019.

Datatilsynet opfordrede dog BDO til at udfase brugen af krypteringsalgoritmen 3DES, da den ikke anses for at være tidssvarende.