AES-256-kryptering: Hva norsk lov krever — og hva som overpresterer
AES-256-kryptering: Hva norsk lov krever — og hva som overpresterer
«Hvilken krypteringsstandard krever norsk lov?» Spørsmålet dukker opp i nesten hver compliance-diskusjon om digital dokumentoverføring. Svaret overrasker mange.
Svaret: Ingen spesifikk algoritme
Verken GDPR, personopplysningsloven, forvaltningsloven eller eForvaltningsforskriften krever AES-256 eller noen annen bestemt krypteringsalgoritme for alminnelig behandling av personopplysninger.
I stedet kreves «egnede tekniske og organisatoriske tiltak» basert på en risikovurdering. GDPR artikkel 32 nevner kryptering eksplisitt som et relevant tiltak, men overlater til den behandlingsansvarlige å velge teknisk løsning basert på risikonivå, teknisk utvikling og gjennomføringskostnader.
Tilnærmingen er gjennomgående risikobasert — ikke teknologispesifikk.
Hva de ulike lovene sier
GDPR artikkel 32
«Egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet, pseudonymisering og kryptering av personopplysninger.»
Kryptering er nevnt. AES-256 er det ikke.
eForvaltningsforskriften § 5
«Risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte.»
Hva som er «tilfredsstillende», avhenger av risikovurderingen.
eForvaltningsforskriften § 4
Definerer sikkerhetstjenester som autentisering, integritet, konfidensialitet og ikke-benekting. Gir forvaltningsorganet adgang til å stille krav, men angir ikke spesifikke algoritmer.
Digitalsikkerhetsloven §§ 7 og 10
Krever «hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak» med referanse til «anerkjente internasjonale standarder». Men heller ikke her angis en bestemt algoritme.
Når spesifikke krav gjelder: Sikkerhetsgradert informasjon
For sikkerhetsgradert informasjon — KONFIDENSIELT, HEMMELIG, STRENGT HEMMELIG — gjelder strengere regler. Sikkerhetsloven § 5-6 krever at kryptosystemer som brukes for å beskytte sikkerhetsgradert informasjon, må være godkjent av NSM (Nasjonal sikkerhetsmyndighet).
Virksomhetsikkerhetsforskriften § 27 pålegger kryptering når sikkerhetsgradert informasjon sendes elektronisk ut av et fysisk område virksomheten kontrollerer. Kryptomateriellet skal forvaltes i samsvar med NSMs krav.
Men disse reglene gjelder bare sikkerhetsgradert informasjon — ikke ordinære personopplysninger, helseopplysninger, barnevernsdokumenter eller NAV-vedtak. For alminnelig behandling er det risikovurderingen som avgjør.
For helsesektoren: Kryptering er påkrevd for identifiserende data
Helseregisterloven § 21 stiller et mer konkret krav enn den generelle GDPR-bestemmelsen: i registre etablert med hjemmel i §§ 10 eller 11 skal «navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert».
Dette er et sjeldent eksempel på at norsk lov krever kryptering av spesifikke datatyper — men selv her angis ingen bestemt algoritme.
Hvorfor AES-256 likevel er riktig valg
AES-256 (Advanced Encryption Standard med 256-bit nøkkel) er den mest brukte sterke krypteringsstandarden internasjonalt. Den brukes av militære, etterretningstjenester og finansinstitusjoner verden over.
For sensitive dokumenter — vergemålsvedtak, barnevernsdokumenter, helseopplysninger, NAV-vedtak — gir AES-256 et sikkerhetsnivå som med god margin overpresterer hva en risikovurdering etter GDPR artikkel 32 vil tilsi.
Når en organisasjon bruker AES-256, er det vanskelig for Datatilsynet å argumentere for at krypteringen er utilstrekkelig. Overprestasjon er en compliance-fordel.
Nøkkelhåndtering er like viktig
Krypteringsalgoritmen er bare halve bildet. Nøkkelhåndtering — hvordan krypteringsnøkler genereres, lagres, distribueres og destrueres — er like viktig.
En AES-256-kryptering der nøkkelen lagres i klartekst på samme server som de krypterte dataene, gir begrenset reell sikkerhet. Hvis serveren kompromitteres, kompromitteres også nøkkelen.
En zero-knowledge-modell løser dette: nøkkelen deriveres fra en kode som aldri når serveren. Serveren har aldri tilgang til nøkkelen, og kan derfor aldri dekryptere innholdet — selv om serveren kompromitteres.
Oppsummering
Norsk lov krever ikke AES-256. Den krever «egnede tiltak» basert på en risikovurdering. Men for sensitive dokumenter er AES-256 med forsvarlig nøkkelhåndtering det naturlige valget — det overpresterer lovens krav og gir robust compliance.
Eller som man kan formulere det: «Norsk lov krever ikke AES-256 — men den krever egnede tiltak. Vi leverer mer enn det loven krever.»
Rettskilder brukt i denne artikkelen
- GDPR art. 32
- eForvaltningsforskriften §§ 4, 5
- Digitalsikkerhetsloven §§ 7, 10
- Sikkerhetsloven § 5-6
- Virksomhetsikkerhetsforskriften § 27
- Helseregisterloven § 21
- Pasientjournalloven § 22
Relaterte artikler
- Zero-knowledge-arkitektur
- GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
- Sikker dokumentoverføring uten BankID
- Det juridiske rammeverket for sikker digital dokumentoverføring
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →