Voorkom AVG-boetes: tips voor veilig e-mailen
Ken je dat? Dat je op verzend e-mail klikt en ziet dat je de verkeerde ontvanger hebt ingevuld? Of dat je de verkeerde bestanden hebt bijgevoegd? Hopelijk ging het in dat soort gevallen om onschuldige e-mails en bleef de schade beperkt. Maar wat als dat gebeurt bij gevoelige gegevens? Dat je bijvoorbeeld hypotheekgegevens naar de verkeerde klant stuurt? Of dat een jaarrekening zo op straat belandt?
Dat de voorbeelden hierboven niet uit de lucht gegrepen zijn, werd in de zomer van 2018 nog maar eens goed duidelijk. Een medewerker van het UWV maakte toen per ongeluk namen, burgerservicenummers en andere persoonlijke informatie van 2.400 uitkeringsgerechtigden per e-mail openbaar. Of neem het recentere onderzoek van de Cyberonderzoeksraad, die duizenden e-mails wist te bemachtigen, die door een typefout aan het verkeerde adres werden gestuurd.
Topje van de ijsberg
Volgens cijfers van de Autoriteit Persoonsgegevens (AP) zijn de gevallen van het UWV en de Cyberonderzoeksraad nog maar het topje van de ijsberg. Van de datalekken die in 2018 werden gemeld, ging het in twee derde van de gevallen (63 procent) om persoonsgegevens die aan de verkeerde persoon werden gestuurd. Met een aandeel van 26 procent van de datalekken in het vorige kalenderjaar staat de financiële sector bovendien op de tweede plek van branches waar datalekken werden gemeld.
Gezien het bovenstaande, is het dus wel veilig om te stellen dat het digitaal communiceren door medewerkers voor de financiële sector het grootste risico vormt. De gevolgen van een datalek kunnen enorm zijn, al is het alleen maar vanwege de boetes die kunnen oplopen tot 20 miljoen euro en de imagoschade voor een organisatie. Dit betekent niet dat je meteen van het medium moet afstappen. Maar als je organisatie veel met gevoelige gegevens werkt, is het wel belangrijk dat je een aantal veiligheidsmaatregelen treft. Volg daarom onderstaande zes stappen.
1. Verklein de kans op fouten
Zorg ervoor dat je medewerkers extra alert zijn als ze op het punt staan gevoelige gegevens te versturen. Door gebruik te maken van kunstmatige intelligentie, kun je specifieke woorden als bankrekeningnummer of verzekeringsnummer herkennen en gebruikers waarschuwen dat ze extra alert moeten zijn.
Nog beter is het als je die technologie gebruikt om ook ontvangers te herkennen, zodat je werknemers erop kunt wijzen dat ze op het punt staan gevoelige informatie te versturen naar een e-mailadres waarmee ze nog niet eerder vergelijkbare informatie hebben gedeeld.
2. Gebruik een beveiligde verbinding
Dat de meerderheid van de datalekken wordt veroorzaakt door fouten van werknemers, neemt niet weg dat hackers er ook alles aan doen om persoonsgegevens in handen te krijgen. Bijvoorbeeld door de inhoud van jouw berichten te onderscheppen als ze onderweg zijn van persoon A naar persoon B. Het versleutelen van e-mails zorgt ervoor dat deze vorm van meegluren niet mogelijk wordt.
Overigens vergeten veel organisaties dat het versleutelen van informatie pas echt effectief is, als dat twee kanten op werkt. Voorkom die fout en zorg ervoor dat zowel jouw organisatie als ontvangers gebruik kunnen maken van versleuteling. Geef jouw klanten dus de mogelijkheid via een veilige methode (zoals een beveiligde onlineomgeving) hun gevoelige informatie met jouw organisatie te delen.
3. Maak het mogelijk om een fout te herstellen
Ondanks het eerdergenoemde waarschuwingssysteem toch een fout gemaakt? Dan is het belangrijk dat medewerkers die fout weer kunnen herstellen. Een bijkomend voordeel van sommige oplossingen voor versleuteld versturen van e-mails is, dat het precies dit mogelijk maakt.
Om een versleuteld bericht te openen, heeft de ontvanger namelijk een digitale sleutel nodig. Als je erachter komt dat je informatie aan de verkeerde persoon hebt toegestuurd, bieden sommige oplossingen de mogelijkheid die sleutel ongeldig te maken en zo te voorkomen dat de ontvanger het verstuurde bericht kan lezen.
4. Laat de ontvanger zich identificeren
Banken en overheidsinstellingen maken in onlineomgevingen al standaard gebruik van multifactorauthenticatie om zeker te weten dat ze de juiste persoon voor zich hebben. Daarbij vragen ze gebruikers om zich niet alleen met hun gebruikersnaam en wachtwoord, maar ook nog op een andere manier te identificeren. Denk aan de codes uit een identifier, via sms of aan het inloggen in een app voor bankieren met uw vingerafdruk.
Als je versleutelde e-mails verstuurt, kun je deze techniek ook toepassen om de identiteit van jouw ontvangers te bevestigen. Zo kun je ervoor kiezen de sleutel om de e-mail te openen, pas te activeren als de ontvanger een aan hem of haar per sms toegezonden code invoert.
5. Zorg dat je inzicht kunt krijgen in de schaal van de fout
Ondanks alle voorzorgsmaatregelen kun je natuurlijk nooit volledig voorkomen dat het misgaat en er toch een datalek via e-mail ontstaat. In zo’n geval is het belangrijk dat je inzicht krijgt in de impact van het lek en weet of, en hoeveel ontvangers de e-mail hebben geopend. Bijvoorbeeld door bij te houden of jouw ontvangers hun sleutel hebben gebruikt om het bericht te lezen, voordat je die kon intrekken.
6. Pas de veiligheidsmaatregelen gebruiksvriendelijk toe
Misschien wel net zo belangrijk als de veiligheidsmaatregelen zelf, is dat je het medewerkers mogelijk maakt om die op een eenvoudige manier toe te passen. Zorg er bijvoorbeeld voor dat ze niet zelf in de weer hoeven te gaan met sleutels voor versleutelingen en dat dit standaard in hun client is ingebouwd.
Verder is het verstandig een gebruiksvriendelijke manier aan te bieden om grote bestanden te delen – bij voorkeur vanuit hun eigen e-mailprogramma. Zo voorkom je dat ze de veiligheidsmaatregelen omzeilen en bijvoorbeeld gebruikmaken van gratis filesharing-diensten als WeTransfer of Google Drive.
Verantwoordelijkheid om veilig om te gaan met gegevens
Volledige veiligheid bestaat niet, maar met bovenstaande zes stappen minimaliseer je de kans op datalekken. En kun je, als het dan toch een keer misgaat, bij de Autoriteit Persoonsgegevens aantonen dat je er alles aan gedaan hebt om een lek te voorkomen – een belangrijk vereiste om te voldoen aan de Algemene verordering gegevensbescherming (AVG). Maar de belangrijkste reden om veilig te e-mailen is, dat je als organisatie natuurlijk gewoon de verantwoordelijkheid hebt om zorgvuldig om te gaan met gevoelige gegevens. Zeker als het gaat om informatie over anderen.
Rick Goud, CEO & Co-founder van ZIVVER