Uppfyller Office 365 (Outlook) och Google kraven i GDPR gällande kryptering?
2023-04-01
Innehållsförteckning
När vi i denna text refererar till Office 365 och Google så avses deras vanligaste licenstyper:
- Microsoft Business Basic & Microsoft Business Standard
- Google Business Starter & Business Standard
Krypterad e-post med Office 365 (Outlook) och Google Workspace – en godkänd lösning enligt GDPR?
Det korta svaret är: Nej, inte i sitt standardutförande.
Microsoft 365 och Google Workspace erbjuder olika licenser. De vanligaste licenstyperna för europeiska företag och organisationer är Business Basic eller Business Standard. Dessa licenstyper innefattar ingen krypteringslösning bortsett från TLS vilket vi nedan konstaterar inte uppfyller kraven i GDPR.
Microsoft erbjuder dock en särskild licens som innefattar möjligheten att kryptera mail på ett sätt som är godkänt enligt GDPR. Licensen är emellertid dyrare än Securemail via Lenito och är inte lika användarvänlig.
Vilken typ av kryptering använder Office 365 och Google?
Både Microsoft Office 365 och Google använder Opportunistic TLS som krypteringsprotokoll vid e-postkommunikation.
Vad är TLS?
TLS står för Transport Layer Security. TLS innebär att överföringskanalen mellan två mailservrar är krypterade, men inte själva innehållet i e-posten. Det kan liknas vid att skicka in ett läsbart, öppet brev genom en skyddad tunnel från en sida till en annan. Tunneln skyddar obehöriga från att läsa men vid varje station i tunneln riskerar mejlet att snappas upp av obehöriga om mottagaren inte använder S/MIME- eller OpenPGP-kryptering.
För att TLS ska fungera krävs att både mottagaren och avsändaren använder TLS, vilket inte alltid är fallet.
Den vanligast förekommande TLS-krypteringen är Opportunistic TLS, vilket är den krypteringsmetod som både Google och Microsoft använder som standard.
Hur fungerar det i praktiken?
Opportunistic TLS innebär att avsändarens mailserver använder den högsta möjliga TLS-krypteringen vilket bestäms av mottagaren, om mottagaren inte använder TLS kommer mailet att skickas okrypterat, om mottagaren använder en äldre version av TLS, t.ex. TLS 1.1 så kommer avsändarens mailserver att använda det krypteringsprotokollet. Som exempel är TLS 1.1 är inte en godkänd kryptering enligt GDPR.
Detta innebär i praktiken att TLS endast är aktiv när mottagaren använder TLS-kryptering, det går således inte att säkerställa att mail som skickas till kunder, klienter eller andra mottagare krypteras när man använder Microsoft 365 eller Google Workspace.
Uppfyller Opportunistisc TLS kraven på kryptering i GDPR?
GDPR ställer krav på att informationen i mailet ska skyddas av kryptering. Användning av TLS garanterar inte att informationen skickas krypterat då det helt beror på mottagarens TLS-användning, som tidigare nämnts – om mottagaren inte använder TLS-kryptering kommer mailet att skickas okrypterat. Opportunistic TLS är således inte en godkänd metod för att skydda känsliga uppgifter via e-post.
GDPR ställer även krav på att det i efterhand ska vara möjligt att kunna kontrollera om mailet skickats med kryptering eller inte – något som inte är möjligt med TLS. Även av denna anledning är Opportunistic TLS inte en godkänd metod för att skydda känsliga uppgifter via e-post.
På grund av att Opportunistic TLS inte är en godkänd lösning enligt GDPR erbjuder Microsoft en särskild licens för att kryptera mail. Licensen är emellertid dyrare än Securemail via Lenito och är inte lika användarvänlig.
Vilka alternativ finns som är GDPR-godkända?
Securemail från Lenito är en GDPR-anpassad tjänst som integreras med er nuvarande e-postklient. Tjänsten är anpassad för att uppfylla kraven i GDPR på digital kommunikation och är godkänd av Traficom, Finlands myndighet för Transport och Kommunikation.
Det är både en billigare och mer användarvänlig tjänst än den tjänst som Microsoft tillhandahåller. Då tjänsten integreras i er nuvarande e-postklient krävs varken utbildning eller extra program – ni fortsätter skicka mail på samma sätt som idag.