Welke technische en organisatorische eisen stelt de AVG aan e-mail?

De mailbox vormt het grootste risico op datalekken. Om aan de AVG te voldoen dienen er daarom technische en organisatorische maatregelen genomen te worden waarmee op een veilige manier e-mail verzonden en ontvangen kan worden.

Naast de inhoudelijke gegevens (de tekst van de mail en eventuele bijlagen) bevatten e-mailberichten ook metadata zoals afzender en ontvanger, datum en onderwerp.

Zowel de inhoud als metadata kunnen persoonsgegevens bevatten. Daarom moeten beide soorten gegevens volgens de AVG beveiligd worden.

Er moeten passende maatregelen worden genomen om de veiligheid van de verwerking van persoonsgegevens en dus ook de vertrouwelijkheid ervan te waarborgen.

De AVG noemt daarbij “pseudonimisering” en “encryptie” als voorbeelden van standaardmaatregelen. Als het gebruik ervan mogelijk en passend is, moeten deze maatregelen in beginsel worden toegepast.

Maar hoe doe je dat?

Bij het verzenden van e-mails moet een fundamenteel onderscheid worden gemaakt tussen versleuteling op inhoudsniveau en versleuteling op verzendniveau.

End-to-end versleuteling

Om de tekst van een e-mail en bijlagen te versleutelen wordt vaak gebruik gemaakt van S/MIME- en OpenPGP-standaarden. Beide standaarden ondersteunen ook digitale handtekeningen om manipulaties op het transmissiepad op te sporen.

Met met S/MIME en OpenPGP is end-to-end versleuteling mogelijk. Het bericht wordt dan versleuteld op het systeem van de verzender en ontsleuteld op het systeem van de ontvanger en is nooit beschikbaar in platte tekst op het verzendpad.

De metadata worden echter niet vastgelegd door de inhoudsversleuteling, maar zijn in platte tekst beschikbaar op de servers die betrokken zijn bij de overdracht.

Contentcodering

De uitgebreide beveiliging van e-mailcommunicatie vereist het gebruik van zowel transport- als contentcodering. Bij bijzondere persoonsgegevens moet ook rekening gehouden worden met de inhoud van de mail.

Omdat e-mailmetadata niet beschermd worden door end-to-end encryptie, moet ervoor worden gezorgd dat ze geen gegevens bevatten die een hoog of zeer hoog niveau van bescherming vereisen. In het bijzonder moet het onderwerp neutraal zijn, bijvoorbeeld “Ons gesprek op 01.02.” in plaats van “Uw bloedwaarden”.

Bij de overdracht van persoonsgegevens met normale beschermingseisen is het mogelijk dat in individuele gevallen wordt afgezien van end-to-end encryptie van de inhoudgegevens.

Er moet echter altijd rekening worden gehouden met de uitdrukkelijke wens van de ontvanger om end-to-end encryptie te gebruiken.

Als minimumnorm is ook transportcodering vereist voor de overdracht van persoonsgegevens met normale beschermingseisen.

Bij het opzetten van een eigen e-mailinfrastructuur is het verplicht om rekening te houden met de technische en organisatorische maatregelen die in dit artikel zijn beschreven.

Afhankelijk van het type en de omvang van de gegevens die per e-mail worden verzonden, kan in individuele gevallen een voorafgaande effectbeoordeling, DPIA, vereist zijn.

IT-experts ontdekken lek in versleuteling voor beveiligde e-mail

IT-experts van de Hogeschool Münster en Hogeschool Bochum in Duitsland en de Leuvense Universiteit in België hebben lekken ontdekt in twee gangbare versleutelingsmethoden voor e-mail. Het zwakke punt kan aanvallers toegang hebben gegeven tot versleutelde berichten.

OpenPGP- en S/MIME

 

E-Mailberichten die zijn gecodeerd met de OpenPGP- en S/MIME-standaarden blijken op twee verschillende manieren zo te kunnen worden gemanipuleerd, dat aanvallers de inhoud gewoon kunnen lezen.

De onderwijsinstellingen hebben hun bevindingen gemeld aan het Federaal Bureau voor Informatiebeveiliging (BSI) in Duitsland.

Hack is niet eenvoudig

 

Het blijkt overigens niet eenvoudig om de versleutelde mail te kraken.

Volgens het BSI moet een aanvaller toegang hebben tot de verbindingen, mailserver of e-mailinbox van de ontvanger om de kwetsbare versleutelingsoftware te kunnen uitbuiten.

Daarnaast moet actieve content aan ontvangende zijde worden toegestaan, zoals het uitvoeren van HTML-code en in het bijzonder het laden van externe content.

De producenten van e-mailclients hebben inmiddels updates van hun producten aangekondigd of reeds beschikbaar gesteld. Een veilige configuratie beschermt ook tegen speciale beveiligingsupdates.

Het BSI geeft daarnaast het volgende advies:

  • Actieve inhoud in de e-mailclient moet worden gedeactiveerd. Dit omvat het uitvoeren van HTML-code en het herladen van externe content, wat vaak om ontwerptechnische redenen is toegestaan.
  • E-mailservers en e-mailclients moeten tegen pogingen van onbevoegden worden beveiligd.

Ook zonder website of cookies moet uw organisatie waarschijnlijk aan de GDPR voldoen. Gebruikt u e-mail?

“Als ik nou de contactpagina van onze website haal… Moet ik dan ook nog een SSL-certificaat hebben? Wij doen niets met cookies.” De ondernemer zucht. “Wij doen helemaal niets online.”

Kleine middenstanders proberen vertwijfeld onder de druk van de nieuwe privacywet AVG / GDPR uit te komen. Ze zoeken ontsnappingsclausules. Vaak gebaseerd op misverstanden.

Een van die misverstanden is dat de Privacywet alleen iets is voor ondernemers die online ondernemen.

“Hoe communiceert u met uw klanten? Gebruikt u e-mail?”, vraag ik.

“Ja, natuurlijk. Dat doet toch iedereen”, antwoordt de ondernemer. Hij zucht nog eens. Het kwartje lijkt gevallen.

Hebt u een computer?

Dus u heeft een computer? En een smartphone? Hebt u antivirus software geïnstalleerd? Wordt uw software regelmatig geüpdatet?

Wat veel ondernemers nog niet lijken te beseffen is dat we in deze digitale tijd allemaal online ondernemers zijn geworden. Zelfs als we geen website hebben.

Onze mailbox zit vol digitale data. Vol persoonsgegevens die we gevraagd en ongevraagd toegezonden krijgen.

We delen offertes, plannen en presenties per mail. We slaan die bestanden automatisch via ons mailprogramma op meerdere plekken op. Die mailprogramma’s downloaden immers vaak voortdurend mail van onze mailserver tegelijk op onze computer, tablet en smartphone.

Ongemerkt hebben we de persoonsgegevens van tientallen mensen al opgeslagen op minimaal zes tot zeven plekken. Computer, smartphone, tablet en mailserver bij onszelf en minimaal ook op de mailserver, computer en smartphone van de persoon waarmee we via mail communiceren.

En dan hebben we het nog maar over een mailbericht…

Wat veel ondernemers ook niet beseffen is dat de privacywet niet alleen over digitale dataverwerking gaat. Ook de administratie in ordners in een archiefkast valt er onder.

En als ondernemer wordt je ook geacht te weten wat andere partijen doen met data die je met hen deelt.

Hoe zit het eigenlijk met die handige software waarmee u werkt? Worden er backups gemaakt? Werkt u in de cloud?

Vorige week gaf ik een awareness training aan bijna zestig ondernemers.

Wie werkt er in de cloud?, vroeg ik.

Geen enkele vinger ging omhoog…

Wie maakt er gebruik van Gmail? Een kwart van de vingers ging omhoog.

Veel ondernemers weten niet wat ‘the cloud’ is. Dat veel applicaties die ze gebruiken via het internet gegevens opslaan op een server die elders in de wereld staat.

Veel ondernemers beseffen zich ook niet dat hun smartphone eigenlijk voortdurend in ‘the cloud’ werkt.

Ze weten niet wat al die handige ‘gratis’ apps op de achtergrond met hun gegevens en hun gedrag doen.

Kortom: ondernemers die hopen dat ze zich kunnen onttrekken aan de invloed van de nieuwe Europese privacywet vergissen zich. Ze zullen toch echt met de GDPR aan de slag moeten.

Als ze dat nog niet hebben gedaan, zijn de drie onderstaande stappen noodzakelijk. Ze zullen meer tijd in beslag nemen dan veel mensen denken. Er gaat een datawereld voor hen open.

Als je er eenmaal mee bent begonnen besef je hoeveel data we eigenlijk dagelijks verwerken. Wij allemaal.

Reinig de database

  • Over welke persoonlijke gegevens beschikt u al?
  • Waar kwam het vandaan en met wie heb je het gedeeld?
  • Waar zijn uw kwetsbaarheden en waar kunt u aansprakelijk voor worden gesteld?
  • Waar bevinden zich de persoonsgegevens die u gebruikt zich? Waar zijn ze opgeslagen?
  • Welke classificatie hebben deze gegevens? (Classificatie? Nog nooit van gehoord, denken veel ondernemers nu. Ze hebben geen idee waar het over gaat.)
  • Zorg ervoor dat u over procedures beschikt om gegevensinbreuken op te sporen, te melden en te onderzoeken.

Begin  zo snel mogelijk met uw stappenplan, want zelfs één klachtrapport van een contactpersoon waar u eigenlijk nooit serieus zaken mee heeft gedaan kan de legitimiteit van uw marketingprogramma in twijfel trekken en voor grote problemen zorgen.

Wat doen uw externe leveranciers?

Het is belangrijk om te begrijpen waar precies de persoonlijke gegevens die u hebt verzameld over uw klanten worden gedeeld en overgedragen. Als deze gegevens worden gedeeld naar plaatsen zoals uw CRM-systeem, e-mailserviceprovider of klantondersteuningssysteem, moet u ervoor zorgen dat deze externe providers zelf GDPR-geschikt zijn.

Dit is vaak de zwakste schakel in het traject om privacyproof te worden.

Hier zijn 12 belangrijke vragen aan al uw externe leveranciers met betrekking tot hun niveau van naleving te stellen.

Het is sterk aan te raden om als een van de eerste stappen in uw organisatie een gegevensregister op te zetten. Dit is de basis van uw GDPR compliance project. Als je er eenmaal mee begonnen bent ontdek je voortdurend nieuwe waarover afspraken gemaakt moeten worden. Onderschat niet hoe lang deze stap zal duren, aangezien het waarschijnlijk een afdelingsoverstijgende inspanning zal zijn.

Herziening van marketingstrategie

Vergeet die uitgebreide adressenbestanden die u via internet kon kopen. Die adressen mag u niet gebruiken. Ten strengste verboden, want de personen die opgenomen zijn in deze bestanden hebben er zeer waarschijnlijk geen weet van dat hun persoonsgegevens verkocht zijn. Zij hebben geen toestemming gegeven voor het gebruik wat u voor ogen zou kunnen hebben. En dan bent u dus in overtreding.

De GDPR bepaalt dat u moet weten wanneer de toestemming werd verkregen (bijvoorbeeld gegevens en tijdstempel), en voor welk specifiek doel de toestemming werd gegeven.

Hebt u zo’n uitgebreide maillijst vol contactgegevens van mensen die u ooit een keer gesproken hebt, maar waar u nooit nadrukkelijk toestemming hebt gekregen om ze via e-mail reclame te sturen? Dan weet u nu dat u deze adressen niet meer kunt gebruiken. Eigenlijk kunt u uw adressenbestand in uw telefoon en uw mailprogramma beter meteen opschonen.

Nog een paar stappen

De volgende stappen zijn even essentieel in het streven naar GDPR-bereidheid. Deze hebben betrekking op de interne procedures binnen een bedrijf, de regels die iedereen die werkt met klantgegevens, vanaf nu moet kennen en toepassen. Elke dag. Elke minuut.

De GDPR gaat veel verder dan een paar verklaringen in de footer van een website. Het gaat om gedragsverandering. Bewustwording. Negentig procent van de datalekken ontstaat door menselijke fouten. Medewerkers die te lichtzinnig op een phishinglink in een mail klikken bijvoorbeeld. Of die vertrouwelijke mail toch maar even delen met een bekende.

Bewustzijn opbouwen

Zorg ervoor dat het senior management zich bewust is van GDPR en de waarschijnlijke impact op uw organisatie. Vergeet niet om tijdens dit proces uw medewerkers en personeel te informeren en voor te lichten. En zorg er voor dat u de medewerkers ook scherp houdt.

Voorkom dat na verloop van korte tijd alles weer zoals vanouds wordt gedaan. “Omdat dat gemakkelijker is. Omdat we het altijd zo gedaan hebben. Omdat we toch niet gecontroleerd worden.” Het management is hoofdelijk aansprakelijk voor overtredingen. Niet het personeel.

De mentaliteit veranderen

Volgens recent onderzoek vraagt slechts 47% van de ondervraagde ondernemers hun klanten altijd om hun toestemming voordat ze contact met hen opnemen. Erger nog, slechts 50% van de respondenten maakt het klanten gemakkelijk om hun toestemming in te trekken.

Vanaf 25 mei heeft de klant recht op:

  • Vergeten worden, geïnformeerd worden, persoonsgegevens laten wissen, een kopie van hun persoonsgegevens hebben (binnen een maand, gratis)
  • Recht op gegevensportabiliteit – gegevens die elektronisch in een algemeen gebruikelijk leesbaar formaat aan hen worden gezonden
  • Recht om geautomatiseerde beslissingen en profilering te beperken
  • Recht van bezwaar

U mag gewoon blijven communiceren

Onthoud dat de GDPR niet ontworpen is om bedrijven te laten stoppen met communiceren met hun klanten. De GDPR is bedoeld om misbruik van persoonsgegevens tegen te gaan.

De GDPR zal leiden tot een verbetering van de datakwaliteit, en dat is de reden waarom de beste en meest vindingrijke marketeers het grotere geheel zien. De GDPR is een kans is om meer vertrouwen en respect te krijgen van klanten die het waarderen dat hun persoonlijke gegevens serieus worden genomen en dat hun rechten volledig worden gerespecteerd.

Amerikaanse e-mail management tool Unroll.Me trekt zich vanwege GDPR terug uit Europa

De Amerikaanse e-mail management tool Unroll-Me is met ingang van 23 mei 2018 niet meer beschikbaar voor Europese gebruikers. Unroll-Me zegt niet aan de privacywet GDPR te kunnen voldoen.

Unroll-Me monitort e-mailboxen van gebruikers en helpt bij het eenvoudig afmelden van nieuwsbrieven.

De dienstverlening van Unroll-Me werd door criticasters altijd al als controversieel gezien.

In de kleine lettertjes van het privacybeleid van Unroll.me staat dat het bedrijf de persoonlijke informatie van gebruikers naar eigen goeddunken kan delen – niet alleen met de moedermaatschappij (en directe filialen), maar met alle andere ‘partners’ die het kiest….

De motivatie van Unroll-me om zich terug te trekken uit Europa vanwege de GDPR duidt er op dat het bedrijf de data uit mailboxen van gebruikers inderdaad heeft verkocht aan derden. Dat mag van de GDPR absoluut niet.

Verklaring Unroll-me

“De EU voert nieuwe regels inzake gegevensbescherming in, bekend als de algemene verordening inzake gegevensbescherming (GDPR). Helaas is onze dienst bedoeld voor gebruikers in de VS. Omdat deze niet is ontworpen om te voldoen aan alle GDPR-vereisten, zal Unroll.Me niet beschikbaar zijn voor inwoners van de EU. Dit betekent dat we geen gebruikers mogen bedienen waarvan we denken dat ze ingezetenen van de EU zijn, en dat we alle gebruikersaccounts in de EU tegen 24 mei moeten verwijderen. We betreuren het ten zeerste dat we u onze service niet kunnen bieden.”