Uppfyller Office 365 (Outlook) och Google kraven i GDPR gällande kryptering?
2023-04-01
Innehållsförteckning
Krypterad mail med Office 365 (Outlook) – en godkänd kryptering enligt GDPR?
Det korta svaret är att det beror på om ni betalar extra.
Microsoft 365 innefattar olika licenser. De vanligaste licenstyperna för europeiska företag och organisationer är Business Basic eller Business Standard. Dessa licenstyper innefattar ingen krypteringslösning bortsett från TLS som vi ovan konstaterat inte uppfyller kraven i GDPR.
Microsoft erbjuder en dyrare licens som innefattar möjligheten att kryptera mail på ett GDPR-säkert sätt. Licensen är emellertid dyrare än Securemail via Lenito och är inte lika användarvänlig.
Vilken typ av kryptering använder Office 365 och Google?
Både Microsoft Office 365 och Google använder Opportunistic TLS som krypteringsprotokoll vid mailkommunikation.
Vad är TLS?
TLS står för Transport Layer Security. För att TLS ska fungera krävs att både mottagaren och avsändaren använder TLS, vilket inte alltid är fallet.
TLS innebär att överföringskanalen mellan två mailservrar är krypterade, men inte själva innehållet i mailet. Det kan liknas vid att skicka in ett läsbart, öppet brev genom en skyddad tunnel från en sida till en annan. Tunneln skyddar obehöriga från att läsa men vid varje station i tunneln riskerar mejlet att snappas upp av obehöriga om mottagaren inte använder S/MIME- eller OpenPGP-kryptering.
Den vanligast förekommande TLS-krypteringen är Opportunistic TLS, vilket är den krypteringsmetod som både Google och Microsoft använder som standard.
Hur fungerar det i praktiken?
Opportunistic TLS innebär att avsändarens mailserver använder den högsta möjliga TLS-krypteringen vilket bestäms av mottagaren, om mottagaren inte använder TLS kommer mailet att skickas okrypterat, om mottagaren använder en äldre version av TLS, t.ex. TLS 1.1 så kommer avsändarens mailserver att använda det krypteringsprotokollet. Som exempel är TLS 1.1 är inte en godkänd kryptering enligt GDPR.
Detta innebär i praktiken att TLS endast är aktiv när mottagaren använder TLS-kryptering, det går således inte att säkerställa att mail som skickas till kunder, klienter eller andra mottagare krypteras.
Uppfyller Opportunistisc TLS kraven på kryptering i GDPR?
GDPR ställer krav på att informationen i mailet ska skyddas av kryptering. Användning av TLS garanterar inte att informationen skickas krypterat då det helt beror på mottagarens TLS-användning, som tidigare nämnts – om mottagaren inte använder TLS-kryptering kommer mailet att skickas okrypterat. Opportunistic TLS är således inte en godkänd metod för att skydda känsliga uppgifter via e-post.
GDPR ställer även krav på att det i efterhand ska vara möjligt att kunna kontrollera om mailet skickats med kryptering eller inte – något som inte är möjligt med TLS. Även av denna anledning är Opportunistic TLS inte en godkänd metod för att skydda känsliga uppgifter via e-post.
På grund av att TLS inte är en godkänd lösning enligt GDPR erbjuder Microsoft en licens för att kryptera mail. Licensen är emellertid dyrare än Securemail via Lenito och är inte lika användarvänlig.
Vilka alternativ finns som är GDPR-godkända?
Securemail från Lenito är en GDPR-anpassad tjänst som integreras med er nuvarande e-postklient. Tjänsten är anpassad för att uppfylla kraven i GDPR på digital kommunikation och är godkänd av Traficom, Finlands myndighet för Transport och Kommunikation.
Det är både en billigare och mer användarvänlig tjänst än den tjänst som Microsoft tillhandahåller. Då tjänsten integreras i er nuvarande e-postklient krävs varken utbildning eller extra program – ni fortsätter skicka mail på samma sätt som idag.