Ga naar Index

(On)beveiligde e-mail, gebruiksgemak of zekerheid?


Een brief schrijven, e-mail is zoveel sneller, goedkoper en gemakkelijker
Een brief schrijven, e-mail is zoveel sneller, goedkoper en gemakkelijker

Dit is een gastblog van Stefanie Kelterman. Stefanie is jurist en Projectmanager Privacy bij Eiffel

De ontwikkeling van de e-mail is een vloek en een zegen. Zelf ben ik nog van de generatie van het leuke postpapier. Op velletjes vol Hello Kitty schreef ik epistels aan mijn oma. Mijn eigen dochter kijkt mij glazig aan, wat omslachtig … Een e-mail is zoveel sneller, goedkoper en gemakkelijker. Maar als programmamanager op het gebied van privacy zie ik ook de keerzijde. E-mail kan een boel ellende veroorzaken als er té snel of té makkelijk mee omgegaan wordt. En de gevolgen zijn dan een stuk groter dan met dat gezellige velletje postpapier. In deze blog deel ik mijn ervaringen met het gebruik van de e-mail, de zwakke plekken en mogelijke oplossingen.

Wel wil ik natuurlijk duidelijk maken dat ik er niet voor pleit om terug te gaan naar het papieren tijdperk. Ik zou drie blogs vol kunnen schrijven over de voordelen van e-mail boven papierwerk. Maar het is wel goed om eens kritisch te kijken naar hoe wij dat middel gebruiken. En of alle aanpassingen aan het gebruiksgemak wel verbeteringen zijn op het gebied van de veiligheid.

Bij de gemiddelde organisatie gaat er dagelijks een berg informatie – waaronder bijzonder gevoelige – over de mail heen en weer. Dat kan intern naar collega’s zijn, maar net zo makkelijk naar buiten. Met het toenemen van de aandacht voor privacy is ook de aandacht toegenomen naar de informatie die via de mail wordt verzonden. Waar eerst hele lijsten met BSN’s, medische dossiers en rapporten over kredietwaardigheid over onbeveiligde e-mail werden verstuurd, wordt daar nu vaker kritisch naar gekeken. Het risico dat zo’n e-mail – opzettelijk of per ongeluk - in verkeerde handen valt is dusdanig groot dat het loont om hier bepaalde veiligheidsmaatregelen op te zetten.

En zo werd beveiligde e-mail geïntroduceerd alsmede beveiligde samenwerkingsomgevingen waardoor informatie op één plek bleef staan. De praktijk leert helaas dat de gemakzucht het nog te vaak wint van de veiligheid. Binnen alle organisaties waarin ik projecten over privacy heb geleid bestaat de mogelijkheid om beveiligd gegevens te delen. En binnen precies dezelfde organisaties vonden regelmatig datalekken plaats met onbeveiligd verzonden informatie. Bijna altijd was daarvan de oorzaak dat de onbeveiligde e-mail sneller is dan de veilige weg. Je hoeft geen nieuw programma te openen, geen nieuw wachtwoord, sms-code of token te bewaren en je bekende mailadressen worden zo handig vooringevuld. Allemaal gebruiksgemak en tevens DE oorzaken van datalekken.

Met een eenvoudige phishing mail is een hacker in no time in de mailbox van een medewerker. Daar kan hij alle documenten openen die in de inbox, maar ook bij de verzonden documenten staat. En phishing mails zijn tegenwoordig niet meer in slecht Nederlands geschreven en ergens midden in de nacht verstuurd. Zelfs de doorgewinterde privacyjurist heeft moeite om een phishingmail te onderscheiden. Ook het automatisch afmaken van mailadressen is een vloek als het gaat om datalekken. Nog onlangs belandde een zeer gevoelig document van een grote gemeente in verkeerde handen doordat een inwoner van de gemeente dezelfde naam bleek te hebben als de collega naar wie het document toegestuurd had moeten worden. Met de domeinnaam die automatisch werd ingevuld ontstond een groot en politiek gevoelig datalek.

Mijn advies is dan ook om a) een goed werkend, maar gebruiksvriendelijke manier van beveiligd e-mailen aan te schaffen en b) tijd te besteden aan bewustwording op dit onderwerp. Laat zien wat de gevolgen kunnen zijn, niet alleen voor de organisatie, maar ook voor de medewerker zelf. Niemand wil moeten uitleggen aan zijn leidinggevende dat de gevoelige gegevens van klanten op straat liggen, alleen maar omdat hij/zij geen zin had om het wachtwoord in te vullen. En hoe gebruiksvriendelijk een systeem ook lijkt, zorg altijd voor een gedegen ondersteuning bij de ingebruikname en ook bij nieuwe medewerkers. Datalekken worden maar een heel enkele keer veroorzaakt door menselijke opzet, veel vaker door onwetendheid en onkunde.

Dan zijn er natuurlijk nog organisaties of de klanten die jou in een moeilijk parket brengen door jouw veiligheidsmaatregelen te negeren en toch alle persoonlijke informatie toesturen via de onbeveiligde e-mail. Weiger dat en tref maatregelen! Op het moment dat die data onbeveiligd bij jou binnenkomt ben je er zelf verantwoordelijk voor. En als er ergens op de lijn een datalek heeft plaatsgevonden gaat het je heel veel moeite kosten om te bewijzen dat jij daar niet verantwoordelijk voor bent. Waarschuw dus aan de voorkant dat je geen gevoelige data via onbeveiligde mail wil ontvangen en maak het je partners en klanten makkelijk door een veilige methode kant en klaar aan te bieden.


Goede informatie? Deel het!