Selecteer een pagina

Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

Wat gebeurt er eigenlijk als je op een spam e-mail reageert?

Bij AVG Awareness wordt veel aandacht besteed aan het risico van e-mail. We laten zien hoe slimme cybercriminelen met psychologische social engineering trucs er in slagen om mensen te verleiden dingen te doen waarvan ze eigenlijk zelf al weten dat het niet goed is.

De mens is de grootste risicofactor als het gaat om cyberveiligheid. De mailbox is de gevaarlijkste plek.

Maar hoe slim zijn die cybercriminelen eigenlijk? 

We krijgen allemaal iedere dag vele spam-mailberichten in onze mailbox.

Veel van die berichten zijn uitermate slordig en slecht geschreven. 

Je kunt je niet voorstellen dat er mensen zijn die er in trappen. Maar toch gebeurt het. 

Die mailtjes worden in zulke grote aantallen verstuurd dat er altijd wel een paar mensen zijn die zo stom zijn om er op te reageren.

Wees eerlijk: de aanbiedingen die je krijgt zijn soms toch ook bijna te mooi om waar te zijn. Je hoeft alleen maar een erfenis van een onbekend iemand op je bankrekening te accepteren om vele miljoenen rijker te worden.

Wie wil dat nou niet?

James Veitch wilde wel eens weten wat er gebeurt als je reageert op zo’n fantastische aanbieding in een spambericht. 

Zou hij de spammer in zijn eigen val kunnen laten lopen?

Het leverde Veitch een fantastische mailwisseling op. En een enorm succes als spreker bij TEDtalk. Ruim 17 miljoen mensen hebben de presentatie al bekeken op YouTube.

Zijn verhaal begint als volgt:

“Een paar jaar geleden kreeg ik een spam e-mail. Het drong door mijn spamfilter. Ik weet niet hoe, maar hij kwam in mijn inbox. Hij was van ene Solomon Odonkoh.”

Het publiek lacht al. De naam van de spammer is te mooi om waar te zijn. 

“Ik weet het”, reageert Veitch.

“Het ging als volgt: Er stond: “Hallo James Veitch, ik wil een interessant zakelijk voorstel met je delen, Solomon.”

Logischerwijs hing mijn hand boven de verwijderknop. Ik keek naar mijn telefoon en dacht: “Ik kan dit verwijderen. Of, ik kan doen wat iedereen waarschijnlijk wel eens zou willen doen.”

Ik schreef: “Solomon, je mail intrigeert me.”

We kunnen zijn presentatie hier natuurlijk gaan uitwerken. Maar dat is zonde van onze tijd en van de humoristische manier waarop Veitch presenteert. Je moet de presentatie echt zelf bekijken. Een aanrader.

https://youtu.be/C4Uc-cztsJo

Fout in de populaire Thunderbird e-mail extensie Enigmail. Versleutelde berichten gewoon leesbaar

Een fatale fout in de populaire Thunderbird extensie Enigmail kan ertoe leiden dat mails die versleuteld zijn volgens de specificaties van de software toch gewoon als platte tekst online zichtbaar zijn. Iedereen die vertrouwelijke of zelfs geheime informatie met deze functie verstuurt, loopt het risico dat deze door derden wordt gelezen.

De fout is ontdekt in de zogenaamde junior mode, die standaard actief is na de Enigmail installatie. In deze modus wordt de Pretty Easy Privacy (pEp) encryptiemethode (pEp) gebruikt om de e-mailcodering te vergemakkelijken en voor iedereen beschikbaar te maken. Het ontlast de gebruiker van alle instellingsstappen en gebruikt de gevestigde OpenPGP op de achtergrond. pEp werd in het voorjaar van 2018 geïntegreerd in Enigmail.

Bedrieglijke beveiliging

Een statusbericht aan de onderkant van de mail editor geeft aan of encryptie wordt gebruikt. Als er staat “Privacy status: Secure” of “Secure & Familiar”, zou er geen twijfel over moeten bestaan dat het e-mailbericht end-to-end versleuteld wordt verzonden. In werkelijkheid blijkt dat niet het geval. Het bericht wordt gewoon als onversleutelde platte tekst verstuurd.

Module onmiddelijk uitschakelen

De bug lijkt alleen voor te komen in de Windows versie van de software. Tot nader order moet je de junior mode van Enigmail vermijden en “het gebruik van S/MIME en Enigmail forceren”.

Ontwikkelaars werken aan update

De bug zit niet in de Enigmail code, maar in de pEp module, die niet geschreven is door Enigmail ontwikkelaar Patrick Brunschwig, maar bijgedragen door de Stichting p≡p. Hoewel het een integraal onderdeel is van elke Enigmail-installatie, wordt het afzonderlijk ontwikkeld en kan het onafhankelijk van de Enigmail-extensie worden bijgewerkt.

Zorgverleners en patiënten versturen vaak patiëntinformatie via onbeveiligde mail. Project Veilig Mailen in de Zorg moet daar verandering in brengen

Het Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport (VWS), komt met het project Veilig Mailen in de zorg.

Halverwege 2019 moet er een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en moet er een toetsingskader liggen voor de Autoriteit Persoonsgegevens (AP).

Zorgverleners en patienten mailen onveilig

Zorgverleners en patiënten versturen nu nog vaak via e-mail patiëntinformatie zonder dat die gegevens goed beveiligd zijn.

Het Informatieberaad Zorg ontwikkelt samen met de normcommissie Nen een standaard voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.

Op 10 oktober 2018 is de eerste bijeenkomst bij Nen.

Het doel is om veilig mailen in de zorg sneller te realiseren.

In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis.

Veilige e-mail na consult

Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie.

Het plan is om de norm begin 2019 vast te stellen. In de loop van 2019 moet duidelijk zijn in hoeverre bestaande oplossingen van ict-partijen daaraan kunnen voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm.

Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen.

Iemand stuurt je een e-mailbericht met in de cc diverse e-mailadressen. Is dat een datalek?

Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.

Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.

Klantenlijst concurrent in de schoot geworpen

En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…

Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.

De AVG is niet nieuw. De regels bestonden al

Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.

Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.

Wanneer is iets een datalek?

Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.

Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).

Jouw mailadres is onrechtmatig gedeeld

Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.

Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.

De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.

Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…

Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.

Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.

Schelden op de AVG lijkt logisch, maar is onterecht

Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.

120.000 Euro boete

De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.

Boetelijst Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.

Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.

Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?

De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.

Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.

CC is soms best praktisch

Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.

Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.

Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.

Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.

Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?

Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.

Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.

Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval

De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.

De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.

Leg de e-mailetiquette uit

Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.

In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.

Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.

PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie

De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.

Hoe groot is de pakkans?

Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.

De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.

AP moet iedere klacht behandelen

Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.

Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.

Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.

Iedereen kan aangifte tegen jou doen

Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.

Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.

• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.

• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.

• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.

Neem geen risico.

Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.