Myndigheder skærper krav til mail-sikkerhed

I Tyskland har en afgørelse erklæret en virksomheds brug af Mailchimp ulovlig, og i Danmark har Rigspolitiet fået kritik for ikke at anvende tilstrækkelig opdateret kryptering i en løsning til våbentilladelser. Begge afgørelser understreger tidens store fokus på sikkerhed i blandt andet mail-løsninger.

Kontakt

Rasmus Geckler, Direktør, Mail

En afgørelse i Tyskland sætter en stopper for en virksomheds anvendelse af den meget populære mail-platform Mailchimp.

I afgørelsen slår det bayerske datatilsyn, BayLDA, fast, at virksomheden, der anvendte Mailchimp, ikke havde foretaget en risikovurdering ved at overføre data til servere uden for EU. Endvidere fastslog BayLDA, at Mailchimp er en amerikansk virksomhed, der leverer digital kommunikation og dermed underlagt den amerikansk lovgivning.

Hvorfor er det så vigtigt for danske virksomheder, hvad der sker i den tyske delstat Bayern? Fordi retningslinjerne for beskyttelse af persondata er et EU-anliggende, der gælder i alle EU-lande. 

En tysk afgørelse er dermed også vigtig for Danmark.

Afgørelsen er baseret på Schrems II-afgørelsen fra 2020. Her skal virksomhederne sikre samtykke til at videregive data til servere uden for EU.

Udgangspunktet er at beskytte brugerne og deres data så godt som overhovedet muligt. 

Derfor er EU som område et “sikkert område” for persondata. 

Peytz Mail er en 100% dansk mail-platform, som anvender servere i EU og endvidere giver mulighed for at kunden kan vælge udelukkende dansk hosting af data.

TLS og DMARC

I en anden sag, i dette fælde fra Danmark, har Datatilsynet udtalt kritik af Rigspolitiet for ikke at understøtte en tilstrækkelig grad af kryptering i en web-løsning til ansøgninger om våbentilladelser.

Web-løsningen anvendte ikke TLS version 1.2 eller derover, som er krævet, når personfølsomme oplysninger skal sikres mod at kunne tilgås af uvedkommende. 

Den del af Rigspolitiets løsning, der omfattede mail, ydede derimod et tilstrækkeligt sikkerhedsniveau. 

Peytz Mail forsøger at aflevere alle mails ved brug af TLS version 1.2, ligesom kunder tilbydes mulighed for at efterleve Datatilsynets krav på området, ved at mails med personfølsomme oplysninger kun afleveres ved brug af såkaldt forced TLS. Det et typisk den omvendte verden Peytz Mail møder, hvor webløsninger og -formularer typisk er sikret hensigtsmæssigt, mens nyhedsbreve og mail-løsninger i højere grad mangler hensigtsmæssig og krævet sikkerhed i form af eksempelvis forced TLS og DMARC.

Case: Markant forbedring ved skifte fra MailChimp

 

(Opdateret 23. april 2021)

Publiceret 21. april 2021