E-mail is een inherent onveilig medium. Het verzenden van informatie via mail brengt risico’s met zich mee. De Algemene Verordening Gegevensbescherming (AVG) gebiedt ondernemers ‘passende’ maatregelen te treffen zonder zich uit te laten over de precieze aard daarvan.
De (persoons)gegevens dienen veilig te worden verstuurd, stelt de Autoriteit Persoonsgegevens (AP). Ook moeten ze naar de juiste persoon worden verstuurd. Het is dus opletten geblazen wanneer je gegevens over klanten, burgers of andere relaties per mail verstuurt, want een ongeluk zit in een klein hoekje. Als ondernemer ben je op dit punt verantwoordelijk. Wie daar laks mee is loopt het risico de AP achter zich aan te krijgen, met mogelijk hoge boetes als gevolg.
Hoe kun je als bedrijf mails versturen zonder met de AVG of andere privacywetgeving in aanvaring te komen? Lucas van Katwijk, product manager Cloud/IT diensten bij KPN, geeft tips bedrijven en instellingen veilig kunnen mailen.
Sterk wachtwoord
De eerste stap is ervoor te zorgen dat er niemand bij je mailbox komt en dus niet bij privacygevoelige informatie kan komen. Van Katwijk: “Maak een sterk wachtwoord. Ondanks alle waarschuwingen wordt 83 procent van alle inbraken veroorzaakt door zwakke wachtwoorden.” Inloggen met gestolen gegevens blijft een beproefde aanvalsmethode. De ervaring leert dat meestal niet de server maar iemands account wordt gehackt.
Aanvallers gebruiken scripts, kleine programma’s die snel een hele waslijst aan veelgebruikte wachtwoorden afdraaien. Mocht het doelwit bijvoorbeeld Welkom1 als wachtwoord gebruiken dan is diens mailbox in een handomdraai geopend. Maar zelfs met slim gekozen combinaties van gebruikersnamen en wachtwoorden weten criminelen soms raad. Wachtwoorden blijven foutgevoelig en bovendien zijn ze lastig te onthouden. Een zwak punt is ook dat iedereen die de login en het wachtwoord kent, zich toegang tot een account kan verschaffen. In bedrijven komt het vaak voor dat meerdere collega’s van elkaar de inloggegevens kennen, wat een extra risico oplevert.
Multifactor-authenticatie
Van Katwijk: “Een veel hogere horde wordt gelegd met multifactor-authenticatie. Na het invoeren van gebruikersnaam en wachtwoord volgt nog een tweede stap: de inloggegevens worden gecombineerd met je telefoon, een pasje of beveiligingssleutel. Deze tweetraps-authenticatie biedt extra bescherming omdat de aanvaller over je mobieltje moet beschikken om de code in het sms-bericht te kunnen lezen. Deze methode garandeert dat alleen de juiste persoon kan inloggen.”
Een derde beveiligingslinie komt vanuit de mailapplicaties. Onder meer Microsoft 365, Office 365 en Exchange Online bieden een toevoeging die mails scant op onveilige url’s. Als sites zijn opgezet om via phishing inloggegevens te stelen of om ransomware te verspreiden, worden de mails met gevaarlijke links eruit gefilterd. Die links worden in quarantaine geplaatst. Ook risicovolle bijlages worden onschadelijk gemaakt. Ook andere leveranciers bieden een dergelijke Advanced Threat Protection. “Je kunt hierbij niet zomaar op alles klikken, als uit databronnen bekend is dat het onveilig is.”
Mobiele apparatuur
Verder is een goede beveiliging van mobiele apparatuur nodig. Belangrijk is dat bestanden op smartphones en tablets op afstand kunnen worden gewist. Veel mensen laten hun mail ook op hun telefoon binnenkomen, wat een extra risico inhoudt. Want smartphones worden eerder gestolen en raken vaker kwijt dan computerapparatuur. Een goede beveiliging van een account is niet voldoende. Van Katwijk: “Als ik namelijk jouw mobieltje pak, kan ik nog bij je mail.” Bij synchronisatie van mail op de telefoon is het raadzaam zoveel mogelijk mails uit de mailbox te verwijderen. Bijlagen met gevoelige informatie moeten zo snel mogelijk in een veilige omgeving worden opgeslagen. Laat ze niet te lang in je mailbox staan.
Ook bij het transport van de mail kan er iets fout gaan. Bovendien kan de server waarop de mailbox van de ontvanger staat worden gekraakt. Versleuteling van alle tekst in de mail is dan de oplossing. Alleen de persoon die de juiste sleutel heeft, kan de oorspronkelijke inhoud lezen. Sommige mailpakketten voorzien in de mogelijkheid mails in versleutelde vorm te versturen, de inhoud kan dan niet zomaar worden geopend. Van Katwijk raadt aan belangrijke informatie nooit in de platte tekst te zetten, beter is het hiervoor een bijlage te gebruiken die alleen met een wachtwoord kan worden geopend.
Verkeerd mailadres
Helaas komt het ook regelmatig voor dat medewerkers per ongeluk een verkeerd mailadres invoeren. Niet een collega, maar een extern contact met dezelfde naam ontvangt dan de mail. Om dergelijke persoonsverwisselingen te voorkomen biedt KPN Werkplek de mogelijkheid zakelijke gebruikers te waarschuwen dat de geadresseerde geen deel uitmaakt van de eigen organisatie. Zodra dit gebeurt, verschijnt er een alert in de vorm van een balkje. Zeker met het oog op de AVG is dit handig. De AP vindt het niet zo erg als er binnen de eigen organisatie iets verkeerd gaat. Veel bedreigender is het als gevoelige persoonsinformatie daarbuiten wordt verspreid.
De AVG dwingt ondernemers na te denken over wat wel en wat niet in de mail kan worden gedeeld. Van Katwijk: 'In plaats van bijlages te gebruiken is het veiliger bestanden te delen in bijvoorbeeld OneDrive, waarbij de ontvanger eerst moet inloggen. De verzender kan dan naderhand nog de rechten intrekken zodat de ontvanger er niet meer bij kan. Er zijn heel veel middelen om op afstand met elkaar samen te werken, bijvoorbeeld met Microsoft Teams.'
Bestanden
Minder zekerheid biedt WeTransfer. Die verzendmethode heeft als nadeel dat je nooit weet wie aan de andere kant de bestanden opent. Je hebt geen garantie dat de informatie bij de juiste persoon komt. De ontvanger hoeft niet aan te geven wie hij is. KPN Werkplek biedt ook de mogelijkheid om bestanden op informatieniveau te beveiligen in plaats van de mail zelf. Een voorbeeld is dat een document wel mag worden gelezen maar niet geprint. Ook kun je bijvoorbeeld iemand toestaan een document te openen zonder dat dit mag worden doorgestuurd. Informatiebeveiliging is belangrijk met het oog op de AVG.
Het vervelende van mail is namelijk dat zodra iets in een bijlage wordt gestopt, er geen controle meer bestaat over wat er mee gebeurt. De verzender blijft verantwoordelijk voor de data, ook als die inmiddels bij een ander is beland. Volgens de AVG behoud je de verplichting voor de veiligheid zorg te dragen. Dit blijft onverminderd van kracht, ook al heb je een verwerkingsovereenkomst met de externe partij afgesloten die verder iets met de data gaat doen. Zo’n overeenkomst wordt gesloten als er heel intensief wordt samengewerkt. Maar het gebeurt ook dat met een klant alleen maar iemands mailadres of een ander ‘klein’ persoonsgegeven wordt uitgewisseld. Daarom kun je beter een link in de mail delen waarbij je de toegang beperkt.
Meer weten?
Of kijk voor meer informatie over bescherming van privacy op kpn.com of neem contact met ons op.
Neem contact met ons op