TLS, e-postaları güvenli ve GDPR uyumlu bir şekilde şifrelemek için yeterli mi? Birçoğu evet diyor, avukatlar buna bağlı. Ama ne için? SSEPPmail'den Tephan Heimel bu soruya ışık tutuyor.
Hem son müşteriler hem de danışmanlık ve uygulama şirketleri şu ifadeyi giderek daha fazla duyuyor: "TLS (Aktarım Katmanı Güvenliği), GDPR uyumlu bir şekilde iletişim kurmak için yeterlidir." Bunun arkasında genellikle şifreli iletişim yoluyla iletişim kurmanın mümkün olan en basit yolunu bulma arzusu vardır. diğer iletişim ortaklarıyla e-postalar. Maalesef bu hatalı bir sonuçtur.
GDPR'nin söylediği bu
Bu değerlendirmeye hukuki açıdan bakmak için, GDPR'nin "İşleme Güvenliği" Madde 32'sine ve GDPR'nin 83. beyanına daha yakından bakılması tavsiye edilir.
GDPR'nin 32. maddesi, kişisel verilerin işlenmesinden sorumlu kişilerin, bu verilerin yetkisiz erişime karşı korunmasını sağlaması gerektiğini belirtmektedir. Yükümlü taraflar uygun teknik ve organizasyonel önlemleri almalıdır. Verilerin takma ad verilmesi ve şifrelenmesi burada mümkündür. Şifreleme, kişisel verilerin, kişisel verilere erişme yetkisi olmayan tüm kişiler için erişilemez hale getirilmesini sağlamalıdır (bkz. Madde 34 Para. 3, bent a GDPR). Burada TLS'nin her durumda uygun teknoloji olup olmadığına kendiniz karar verebilirsiniz.
Kapsamlı cevaplara dikkat edin
Yasal açıdan bakıldığında genel ifadeler nadiren iyi bir yaklaşımdır. Bu nedenle bir avukatın ilk yanıtı genellikle şu olur: "Duruma göre değişir...".
Uyuşmazlık durumunda, söz konusu gerçekler olay bazında incelenmelidir. Test, hiçbir şifrelemenin gerekli olmadığını, TLS şifrelemesinin yeterli olduğunu veya saf hat şifrelemeye ek olarak içeriğin uçtan uca şifrelemesinin kullanılması gerektiğini gösterebilir.
"TLS, GDPR uyumlu iletişim için yeterlidir" gibi genel bir ifadeye ihtiyatla yaklaşılmalıdır. Veri koruma düzenlemelerine uymak amacıyla sorumlu kişi (EUGDPR Madde 4 Sayı 7'ye göre) sorumlu olmaya devam etmektedir. Çünkü risk yalnızca kendisine ait olmakla kalmıyor, aynı zamanda sonuçlar da onu - gerekirse kişisel olarak - etkiliyor. Olası yaptırımlar arasında, diğer hususların yanı sıra, uyumluluk, veri koruma ve bilgi güvenliği konularında yönetime veya özel temsilcilere karşı rücu talepleri yer almaktadır. Medeni hukuk uyarınca genellikle tazminat ödenmesi gerekir. Bu aynı zamanda sorumluluk sınırı olmayan mali kayıpları da içerir. Kamu hukuku kapsamındaki yaptırımlar para cezalarını, hapis cezalarını veya idari cezaları içermektedir. Düzenleyici tedbirler işletmenin kapanmasına bile yol açabilir.
Güvenli e-posta iletişimi sanatı
Bu potansiyel tehlikeler göz önüne alındığında, riskleri en aza indirmek ve e-posta güvenliğini en üst düzeye çıkarmak için mümkün olan her pratik adımı atmak çok önemlidir. Sık kullanılan TLS şifrelemesine ek olarak, gizli e-postaların güvenliğini sağlamak için çeşitli başka şifreleme yöntemleri de mevcuttur. Buna, uçtan uca şifreleme sağlayan ve yalnızca yetkili alıcının içeriğin şifresini çözebilmesini sağlayan S/MIME ve PGP gibi teknolojiler de dahildir.
Benzer şekilde, spontan şifrelemenin kullanılması, belirli e-postaları veya mesajları gerektiği gibi şifrelemek ve ek bir güvenlik katmanı oluşturmak için uygun bir seçenektir. Tüm bu teknolojiler, temel altyapı üzerine inşa edilmeleri gerekmeyecek, verici ve alıcı arasında bağımsız olarak çalışacak şekilde geliştirildi.
İdeal olarak bu teknolojiler, e-posta iletişiminin gizliliği ve bütünlüğünün hiçbir durumda GDPR ihlallerine neden olmayacağı şekilde birleştirilir.
SEPPmail.de'de daha fazlası
SEPPmail hakkında
Merkezi İsviçre ve Almanya'da bulunan uluslararası düzeyde faaliyet gösteren ve sahibi tarafından yönetilen SEPPmail şirketi, "Güvenli Mesajlaşma" alanında bir üreticidir. Spontane, güvenli e-posta trafiği için patentli, çok ödüllü teknolojisi, elektronik mesajları şifreler ve istenirse onlara dijital imza sağlar. Güvenli e-posta çözümleri dünya çapında mevcuttur ve elektronik posta kullanarak güvenli iletişime kalıcı bir katkı sağlar.