Jag har stött på påståendet redan i några bloggar. Påståendet är ungefär GDPR kräver att du krypterar all personlig data. I verkligheten nämns kryptering fyra gånger i dataskyddsförordningen. I samtliga sammanhang nämns det inte som ett krav, utan snarare som en möjlighet. Vad är då kravet som man som organisation måste uppfylla? Jag stötte nyss på ett inlägg på Linkedin, vilket gjorde mig sugen att skriva detta inlägg…

Inlägget handlar om GDPR då man hanterar personuppgifter i en organisation. Det handlar alltså inte om privatpersoners egna privata kommunikation sinsemellan (skäl 18 och artikel 2 c i GDPR), eller då man utövar sin yttrandefrihet (tryckfrihetsförordningen samt yttrandefrihetsgrundlagen). Jag har själv också skrivit mer allmänt om detta i ett tidigare inlägg.

GDPR och kryptering: när kan det behövas?

Det hela beror på sitt sammanhang. För att ta ett exempel: när du loggar in på en hemsida, visas då en bild av ett hänglås i adressfältet? Förhoppningsvis finns det där, och det brukar betyda att anslutningen till sidan är krypterad. För den mindre tekniske personen betyder detta att ingen utomstående person kan tjuvlyssna på ditt lösenord. I alla fall inte vad gäller trafiken mellan din enhet och just den webbsidan. Då är det, enligt mig och flera andra, berättigat att använda kryptering. Google rekommenderar visserligen att alla sidor bör använda HTTPS. Den som utvecklar hemsidor bör känna till att Google belönar sidor som använder HTTPS i deras sök… Dessutom behöver det inte kosta någonting då Let’s Encrypt ger gratis certifikat som fungerar på de flesta nyare webbläsare.

Är kryptering överdrivet då?

Återigen, beror på sitt sammanhang. Hanterar man exempelvis känsliga personuppgifter lutar det med största sannolikhet åt det hållet. E-post är en kanal som man definitivt inte vill hantera personuppgifter oskyddat. Man kan nämligen likna e-post vid vykort. All e-post som skickas är nämligen skrivet i vanligt textformat. Men man kan förstås använda kryptering, genom ett webbläsartillägg såsom mailvelope. Använder man Thunderbird, och är något mer teknisk, kanske man vill använda Enigmail.

Jag har läst inlägg om att kryptera loggfiler vad gäller webbservrar. För: Det skapar ytterligare ett skydd mot att obehöriga skall kunna läsa loggfilerna. Emot: Krångligt att implementera.

Vad jag menar dataskyddsförordningen säger

Dataskyddsförordningen kräver inte explicit att man använder kryptering. Ordet kryptering nämns enbart fyra (4) gånger i dataskyddsförordningen. I nedan utdragningar har jag själv markerat ordet kryptering med fet text, så att det snabbare kan noteras av ögat:

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen […] i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. […]

Utdrag ur skäl 83 av dataskyddsförordningen.

I skäl 83 så visas det första nämnandet av ”kryptering” i dataskyddsförordningen.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd […], ska den personuppgiftsansvarige […] bland annat beakta följande:

[…]

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Utdrag ur artikel 6 av dataskyddsförordningen.

Notera orden ”kan inbegripa kryptering”.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art […] ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

Utdrag ur artikel 32, punkt 1.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

Utdrag ur artikel 34, punkt 3.

Artikel 34 handlar om vilka åtgärder man måste ta vid en personuppgiftsincident, d.v.s. då data kan ha kommit i orätta händer.

I ovan nämnda fall nämns inte kryptering som ett krav, utan som ett medel. Dessutom nämns inte vilken slags kryptering som bör användas i samtliga fall. För att göra en extrem jämförelse, så är ett caesarchiffer väldigt enkelt i jämförelse med AES-256.

Slutsats av GDPR och kryptering

GDPR är i större mån intresserad av integritet och transparens än av kryptering. Med detta menar jag att förordningen hellre ser att man sparar så få personuppgifter som möjligt, så kort tid som möjligt och att de berörda får ta del av hur man som samlar in personuppgifter hanterar dem.

Såvitt som jag förstår kan man enligt skäl 49 behandla personuppgifter om det är absolut nödvändigt (och är proportionerligt) att göra sina system säkra. Detta genom att förhindra obehörigt tillträde, motverka delning av skadlig kod och även motverka DDoS samt övriga skador på IT-system.

Alltså: dokumentera mer och var transparent.