Kryptering

Kryptering kan användas för att skydda data både vid lagring och vid överföring. I dataskyddsförordningen nämns kryptering som ett exempel på en lämplig säkerhetsåtgärd när personuppgifter lagras eller skickas via öppna nätverk, till exempel internet.

Varför behövs kryptering?

Personuppgifter behöver ofta skyddas från obehörig åtkomst. Kryptering är en säkerhetsåtgärd som hindrar obehöriga att ta del av skyddsvärd information genom att rätt krypteringsnyckel krävs för att man ska kunna läsa innehållet i klartext.

Hur ska ni arbeta med kryptering?

Nedan är några exempel på vad som förväntas av er som verksamhet när ni implementerar kryptering för att begränsa riskerna med er personuppgiftbehandling.

• Analysera ert behov
  Analysera ert behov av kryptering, det vill säga ta reda på vilken information som i olika situationer kan behöva krypteras samt vilken typ av krypteringsskydd som är lämpligt.
• Dokumentera er analys
  Dokumentera resultatet av er analys om det gäller behandling av skyddsvärda personuppgifter, till exempel i form av en policy.
• Instruktioner
  Användarna ska ges tydliga instruktioner och utbildning om när, var, hur och vilken kryptering som ska användas.
• Använd tillräckligt säker kryptering
  Den kryptering som ni använder ska vara tillräckligt säker. Ett sätt att försäkra sig om detta är att använda allmänt erkända krypteringsalgoritmer och krypteringsnycklar av tillräcklig längd.
• Skydda krypteringsnycklarna
  Krypteringsnycklar ska skyddas mot obehöriga.
• Säkerställ att krypteringen sker hela vägen
  När ni använder kryptering för att skydda känsliga personuppgifter vid överföring ska ni säkerställa att kryptering sker hela vägen från avsändaren till mottagaren, så kallad end-to-end-kryptering.
• Krypteringen ska ske innan obehöriga kan ta del av personuppgifterna
  Vid lagring av personuppgifter ska kryptering ske innan obehöriga har möjlighet att ta del av dem.