Hoppa till innehåll på sidan

Kryptering

Kryptering är en matematisk funktion som i kombination med en krypteringsnyckel omvandlar data från ett läsbart till ett krypterat och oläsligt format. Därmed kan bara de som har rätt krypteringsnyckel läsa informationen.

Kryptering kan användas för att skydda data både vid lagring och vid överföring. I dataskyddsförordningen nämns kryptering som ett exempel på en lämplig säkerhetsåtgärd när personuppgifter lagras eller skickas via öppna nätverk, till exempel internet.

Varför behövs kryptering?

Personuppgifter behöver ofta skyddas från obehörig åtkomst. Kryptering är en teknisk säkerhetsåtgärd som hindrar obehöriga att ta del av skyddsvärd information genom att rätt krypteringsnyckel krävs för att man ska kunna läsa informationen i klartext.

Hur ska ni arbeta med kryptering?

Nedan är några exempel på vad som förväntas av er som verksamhet när ni implementerar kryptering för att begränsa riskerna med er personuppgiftbehandling.

  • Analysera ert behov
    Analysera ert behov av kryptering, det vill säga ta reda på vilken information som i olika situationer kan behöva krypteras samt vilken typ av krypteringsskydd som är lämpligt, till exempel vid användning av molntjänster för lagring av personuppgifter.
  • Dokumentera er analys
    Dokumentera resultatet av er analys om det gäller behandling av skyddsvärda personuppgifter, till exempel i form av en policy.
  • Instruktioner
    Användarna ska ges tydliga instruktioner och utbildning om när, var, hur och vilken kryptering som ska användas.
  • Använd tillräckligt säker kryptering
    Den kryptering som ni använder ska vara tillräckligt säker. Ett sätt att försäkra sig om detta är att bara använda allmänt erkända starka krypteringsalgoritmer och krypteringsnycklar av tillräcklig längd.
  • Skydda krypteringsnycklarna
    Det gäller också att säkerställa att krypteringsnycklarna lagras och hanteras på ett säkert sätt och därmed skyddas mot obehöriga. Om lagringen till exempel sker i en molntjänst i tredjeland som inte kan erbjuda likvärdig skyddsnivå ska krypteringsnycklarna endast vara tillgängliga för den personuppgiftsansvarige. Detsamma gäller i situationer där det finns anledning att skydda personuppgifterna i förhållande till ett personuppgiftsbiträde.
  • Säkerställ att krypteringen sker hela vägen
    När ni använder kryptering för att skydda känsliga personuppgifter vid överföring ska ni säkerställa att kryptering sker hela vägen från avsändaren till mottagaren. Detta kallas ofta för end-to-end-kryptering eller totalsträckskryptering.
  • Krypteringen ska ske innan obehöriga kan ta del av personuppgifterna
    Vid lagring av personuppgifter ska kryptering ske innan obehöriga har möjlighet att ta del av dem. Detta gäller till exempel vid användning av molntjänster i tredjeland som inte kan garantera en likvärdig skyddsnivå som kan garanteras inom EU/EES.
Senast uppdaterad: 10 februari 2023