Få har säkerligen undgått den nya dataskyddslagen som trädde i kraft förra veckan, 25 maj 2018. Till följd av allmänna dataskyddsförordningen, eller GDPR efter engelskans General Data Protection Regulation, har europeiska medborgare mottagit mängder av e-postmeddelanden den senaste tiden, där de uppmanas acceptera nya villkor. GDPR ställer nämligen hårdare krav på webbplatsägare – data får inte samlas in hur som helst och säkerheten på webbplatsen ska vara hög så att datastöld kan undvikas inte så stor utsträckning som möjligt. Vad innebär det ur ett SSL-perspektiv? Det tänkte jag behandla i det här inlägget.
Att SSL har många fördelar är solklart. Med ett aktivt SSL-certifikat kommer din webbplats värderas högre av många sökmotorer, och dina besökare kommer kunna använda dina tjänster under trygga former. Dessutom slipper du riskera att webbläsare varnar för din sida om den saknar SSL, vilket såklart kan skrämma bort många kunder. Så ja, det finns gott om fördelar. Men kan det vara så att SSL är obligatoriskt för att uppfylla kraven i den nya dataskyddslagen?
SLL eller TLS nämns inte ordagrant i lagtexten bakom dataskyddsförordningen. Däremot finns det bestämmelser i lagen som mycket väl skulle kunna innebära att SSL är mer eller mindre obligatoriskt. Artikel 32 i GDPR handlar om säkerhet och inleds:
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål som riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna
Enligt GDPR är du således skyldig att vidta lämpliga tekniska åtgärder för att skydda dina besökares data. Med tanke på hur enkelt det är att implementera en SSL-lösning så finns det, enligt min tolkning av lagtexten, inga ursäkter. SSL/TLS är ingen ny, revolutionerande teknik som kräver dyra IT-konsulter. Det är en teknik som har varit standard för seriösa webbplatser i många, många år nu. Om du inte har gått över till HTTPS-protokollet så är det hög tid nu – inte minst för att slippa riskera att bryta mot GDPR. I och med att det finns gott om svenska webbhotell som erbjuder gratis SSL via Let’s Encrypt så behöver det inte ens kosta dig någonting extra.
Med tanke på hur viktigt det är med SSL idag, och att det möjligtvis krävs för att uppfylla kraven i nya dataskyddsförordningen, så är det oerhört konstigt att nästan hälften av alla svenska myndigheter saknar SSL-certifikat på sina webbplatser. Är de lika slarviga med andra delar av GDPR också tro?