Hos en tandklinik er kravene til kryptering skærpede, fordi I behandler helbredsoplysninger, og det er en særlig kategori af persondata under GDPR Artikel 9. Det betyder strengere krav til behandlingsgrundlag, sikkerhed og dokumentation. Her er en gennemgang af, hvad der reelt skal krypteres på klinikken, hvorfor det også gælder mere, end de fleste tror, og hvor faldgruberne typisk ligger.
Hvorfor sundhedssektoren har skærpede krav
Tandlæger, tandplejere og klinikassistenter er sundhedspersoner. Det giver tre lag af regulering oven på de almindelige regler for behandling af personoplysninger:
- GDPR: Helbredsoplysninger er en særlig kategori jf. Artikel 9, og kræver et særligt behandlingsgrundlag og skærpede sikkerhedsforanstaltninger. Artikel 32 nævner kryptering eksplicit som en passende foranstaltning.
- Sundhedsloven: Sundhedspersoner har tavshedspligt efter §§ 40-46, og videregivelse af patientoplysninger kræver typisk samtykke eller særlig hjemmel.
- Autorisationsloven: Forpligter til at handle med omhu og samvittighedsfuldhed, herunder ved håndtering af patientdata.
Datatilsynet har siden 2019 lagt en fast linje: Fortrolige og følsomme oplysninger må ikke sendes via ukrypteret email over åbne netværk. For helbredsoplysninger er udgangspunktet end-to-end-kryptering eller forced TLS med dokumentation.
Persondata, fortrolige oplysninger og helbredsoplysninger
Det hjælper at kende de tre lag, fordi kravet til kryptering vokser med følsomheden:
Persondata
Enhver oplysning, der direkte eller indirekte kan henføres til en fysisk person. Navn, telefonnummer, email og IP-adresse er klassiske eksempler. Personoplysninger skal beskyttes, men kravet til kryptering afhænger af, hvor følsomt indholdet er.
Fortrolige oplysninger
Eksempelvis CPR-nummer og økonomiske forhold. Datatilsynet kræver kryptering ved transmission via åbne net.
Helbredsoplysninger
Alle oplysninger, der vedrører en fysisk persons fysiske eller psykiske helbred, inklusive den behandling, vedkommende modtager. Det er den særlige kategori i Artikel 9, og kravet til sikkerhed er det højeste. Hovedreglen for tandklinikker er, at langt det meste patientkorrespondance falder i kategorien fortrolige eller helbredsoplysninger.
Kombinationsprincippet: Når summen bliver følsom
En af de største faldgruber er, at klinikker kun krypterer beskeder, der nævner CPR. Men kombinationer kan være lige så identificerende, og i det øjeblik en kombination afslører noget om helbred, bliver hele meddelelsen til en helbredsoplysning.
Et konkret eksempel: En mail med navn, adresse og "overslag på rodbehandling" indeholder ikke CPR-nummer. Men kombinationen identificerer en konkret person og oplyser om en planlagt behandling, og dermed om vedkommendes tandsundhed. Den er en helbredsoplysning og skal krypteres.
Princippet hedder indirekte identifikation. GDPR Artikel 4(1) definerer persondata som oplysninger, der kan henføres til en person, direkte eller via en kombination af elementer. Det betyder, at I ikke kan vurdere én oplysning ad gangen, men skal se på den samlede besked.
Eksempler på kombinationer, der gør en mail personhenførbar:
- Navn + fødselsdato + behandlingstype
- Adresse + behandling, især i mindre byer
- Email + diagnose eller medicinering
- Telefonnummer + henvisning til specialist
- Initialer + behandlingsdato + klinikkens navn
Tommelfingerreglen: Hvis en udefrakommende kunne læse mailen og med rimelig sandsynlighed gætte både, hvem patienten er, og hvad de fejler, skal mailen krypteres.
Helbredsoplysning plus identifikator: så skal det krypteres
Kombinationsprincippet bliver lettere at huske i praksis, hvis man tænker det som to kategorier. Hver kategori for sig er ikke nødvendigvis personhenførbar, men så snart en besked indeholder elementer fra begge, bliver hele beskeden til en helbredsoplysning.
- Journalnotat eller journaludskrift
- Behandlingsplan eller overslag
- Diagnose
- Røntgenbillede
- Intraoralt foto
- Ydelseskode (f.eks. 4111 for rodbehandling)
- Medicinordination
- Henvisning til specialist
- Allergier og sygdomshistorik
- Tandstatus og parodontale målinger
- Aftaletype eller behandlingstype
- Navn
- CPR-nummer
- Adresse
- Telefonnummer
- Fødselsdato
- Patientnummer
- Initialer + by
- Foto af person
Reglen: Indeholder en besked mindst én oplysning fra venstre kolonne og mindst én fra højre, er den en helbredsoplysning og skal krypteres.
Fem konkrete eksempler, der ofte glemmes
1. Fakturaer og kvitteringer med ydelseskode
En faktura med ydelseskode (f.eks. 1401 for tandrensning eller 4111 for rodbehandling) plus navn og adresse er en helbredsoplysning, også uden CPR. Ydelseskoderne er offentligt tilgængelige og kan slås op.
2. Behandlingsoverslag
Et behandlingsoverslag indeholder per definition en planlagt behandling. Sendt med navn, adresse eller kontaktoplysninger er det en helbredsoplysning. Selv uden CPR er kombinationen tilstrækkelig til at identificere både person og helbredsforhold.
3. Aftalebekræftelser med behandlingstype
Hvis klinikken besvarer en email, som patienten selv har sendt, f.eks. med "bekræftelse på rodbehandling tirsdag kl. 10", afsløres et konkret behandlingsforhold sammen med patientens email-adresse. Det gælder, selvom oplysningerne allerede var i den email, patienten selv har delt.
4. Korrespondance med forsikringsselskaber
Korrespondance med forsikringsselskaber indeholder næsten altid både helbredsoplysninger, økonomiske oplysninger og navne. Flere forsikringsselskaber er i dag på EDI-portalen. For dem, der ikke er, skal hele korrespondancen krypteres.
5. SMS-påmindelser med specifik information
"Vi minder om din tid til ortodontisk konsultation" sendt via almindelig SMS afslører et behandlingsforhold. Generelle påmindelser ("Du har en aftale i morgen") er som hovedregel mindre problematiske, men jo mere specifik beskeden er, jo strengere bliver kravet.
Det skjulte i mailen: Emnefelter, filnavne og vedhæftninger
En overset faldgrube er, at emnefelter og filnavne ikke krypteres i alle løsninger, selvom selve indholdet gør.
Emnefeltet
"Vedr. behandlingsplan for Lars Hansen" i emnefeltet er en helbredsoplysning, før modtageren overhovedet åbner mailen. Hold emnefeltet generisk, f.eks. "Vedr. din næste aftale" eller "Sikker post fra klinikken".
Filnavne
Et filnavn som "Jensen_OPG_2026.jpg" røber både identitet og indhold (OPG er forkortelsen for ortopantomogram, et røntgenbillede af hele kæben). Brug filnavne uden patientidentifikation, eller send filer via sikker patientportal.
Vedhæftninger
En PDF, et røntgenbillede eller et foto følger de samme regler som selve mailen. En krypteret mail med en vedhæftet OPG i klartekst er ikke godt nok, hvis krypteringen ikke omfatter vedhæftningen.
Pas på myten om kodeordsbeskyttede PDF'er
En udbredt misforståelse er, at en kodeordsbeskyttet PDF, der låses op med en SMS-kode, automatisk er en sikker forsendelse. Det er den ikke. Der er flere lag, der skal være på plads, før kommunikationen er reelt sikker.
PDF-kodeord er ikke transportsikkerhed
En adgangskode på selve PDF-filen beskytter kun, når filen åbnes. Den siger ikke noget om, hvordan filen sendes fra klinikken til patientens mailserver. Hvis mailen sendes via ukrypteret SMTP, kan en angriber opsnappe selve PDF-filen undervejs, gemme den og arbejde med den i ro og mag bagefter. Derfor er TLS-kryptering på selve transmissionen stadig nødvendig, også selvom PDF'en er låst.
Lave entropi-koder kan brute-forces på sekunder
Sikkerheden af en kodeordsbeskyttet PDF afhænger af adgangskodens styrke. Mange klinikker bruger oplysninger, som patienten allerede kender, f.eks. fødselsdato eller CPR-nummer. Det er meget svagere, end det lyder:
- Fødselsdato (6 cifre, DDMMÅÅ): Kun 1 million mulige kombinationer. Brydes på sekunder, også på en ganske almindelig computer.
- CPR-nummer (10 cifre): Ser ud som 10 milliarder kombinationer, men de første 6 cifre er fødselsdatoen, som ofte kan gættes eller udledes af mailens kontekst. De sidste 4 cifre følger desuden strukturelle regler. Den effektive entropi er langt lavere end 10 milliarder.
- SMS-kode på 4-6 cifre: Hvis den er reelt tilfældig og kun gælder kort tid, tilbyder den begrænset, men reel beskyttelse. Hvis den genbruges, gemmes eller har lang levetid, falder beskyttelsen markant.
Selv på en almindelig kontorcomputer kan en sekscifret kode brute-forces på minutter.
Offline-brute-force har ingen rate limit
Det er forskellen på et online-system og en offline-fil. På en patientportal kan systemet låse efter f.eks. fem forkerte forsøg. På en PDF-fil, som angriberen allerede har hentet ned, er der ingen begrænsning. Angriberen kan prøve uendeligt mange adgangskoder uden klinikkens vidende og uden nogensinde at blive opdaget.
Hvad skal der så til?
En kodeordsbeskyttet PDF kan være et nyttigt ekstra lag, men kun under tre forudsætninger:
- Selve transmissionen er krypteret med TLS, så filen ikke kan opsnappes som klartekst.
- Adgangskoden er reelt tilfældig og ikke baseret på fødselsdato, CPR eller andre oplysninger, der kan gættes.
- Koden har kort levetid og bruges kun til den konkrete forsendelse.
Den mest robuste model er en sikker patientportal med MitID eller 2FA-kode, hvor adgangen er online-kontrolleret og kan låses ved mistanke om misbrug.
Hvad siger Datatilsynet konkret?
Datatilsynets praksis er klar:
- Ved transmission af fortrolige og følsomme oplysninger via åbne net, herunder almindelig email, skal der anvendes kryptering.
- For helbredsoplysninger er udgangspunktet end-to-end-kryptering eller forced TLS med dokumentation for, at krypteringen faktisk er etableret.
- Klinikken skal kunne dokumentere, at krypteringen er sket, ikke kun at den var tilsigtet.
- Manglende kryptering kan udløse påtaler, bøder og pligt til at underrette patient og Datatilsynet ved brud.
Bevisbyrden ligger hos klinikken som dataansvarlig. Hvis Datatilsynet beder om dokumentation, skal I kunne fremvise, at den konkrete mail blev sendt krypteret, og hvilken krypteringsstandard der blev brugt.
Kilde: Datatilsynet — Skærpet praksis ift. krypteret e-mail
Sådan løser Adent det automatisk
Adent krypterer automatisk forsendelser fra journalsystemet og Outlook, så klinikkens personale ikke selv skal vurdere, hvad der skal krypteres og hvordan.
Adent vurderer hver enkelt afsendelse og vælger den rette leveringsvej:
- Forced TLS-sikkermail: Til almindelig patientkommunikation, hvor modtagerens mailserver understøtter krypteret forbindelse.
- Tunnelmail med certifikat: Til kommuner, regioner, forsikringsselskaber og andre klinikker, hvor certifikat-baseret kryptering er påkrævet.
- Sikker patientportal: Hvis ingen krypteringsmetode kan etableres, leveres beskeden via portal med MitID eller 2FA-kode.
Systemet logger hver afsendelse med dokumentation for kryptering og levering, så I altid har beviset klar ved tilsyn. Personalet skal ikke vurdere, om en mail skal krypteres, det sker automatisk i baggrunden.
Ofte stillede spørgsmål
Skal jeg kryptere en mail uden CPR, hvis den nævner en behandling?
Ja, hvis modtageren eller andre, der får adgang til mailen, kan henføre den til en bestemt person. En mail til "lars@email.dk" med ordene "din rodbehandling" afslører et behandlingsforhold og er en helbredsoplysning.
Hvad med en kort SMS-påmindelse?
Generelle påmindelser uden specifik behandlingsinformation er normalt acceptable. SMS, der nævner konkret behandling, diagnose eller resultater, skal håndteres på samme niveau som email.
Er emnefeltet en del af krypteringen?
Det kommer an på løsningen. I mange standardløsninger krypteres indholdet, men ikke emnefeltet. Hold derfor emnefeltet generisk, uanset hvilken krypteringsløsning I bruger.
Hvordan ved jeg, om vores nuværende setup lever op til kravene?
Datatilsynet har ikke en officiel godkendelse af konkrete løsninger. Pligten ligger hos jer som dataansvarlig. Det vigtige er, at I løbende kan dokumentere kryptering og leveringssikkerhed for hver enkelt afsendelse.
