Welke technische en organisatorische eisen stelt de AVG aan e-mail?

De mailbox vormt het grootste risico op datalekken. Om aan de AVG te voldoen dienen er daarom technische en organisatorische maatregelen genomen te worden waarmee op een veilige manier e-mail verzonden en ontvangen kan worden.

Naast de inhoudelijke gegevens (de tekst van de mail en eventuele bijlagen) bevatten e-mailberichten ook metadata zoals afzender en ontvanger, datum en onderwerp.

Zowel de inhoud als metadata kunnen persoonsgegevens bevatten. Daarom moeten beide soorten gegevens volgens de AVG beveiligd worden.

Er moeten passende maatregelen worden genomen om de veiligheid van de verwerking van persoonsgegevens en dus ook de vertrouwelijkheid ervan te waarborgen.

De AVG noemt daarbij “pseudonimisering” en “encryptie” als voorbeelden van standaardmaatregelen. Als het gebruik ervan mogelijk en passend is, moeten deze maatregelen in beginsel worden toegepast.

Maar hoe doe je dat?

Bij het verzenden van e-mails moet een fundamenteel onderscheid worden gemaakt tussen versleuteling op inhoudsniveau en versleuteling op verzendniveau.

End-to-end versleuteling

Om de tekst van een e-mail en bijlagen te versleutelen wordt vaak gebruik gemaakt van S/MIME- en OpenPGP-standaarden. Beide standaarden ondersteunen ook digitale handtekeningen om manipulaties op het transmissiepad op te sporen.

Met met S/MIME en OpenPGP is end-to-end versleuteling mogelijk. Het bericht wordt dan versleuteld op het systeem van de verzender en ontsleuteld op het systeem van de ontvanger en is nooit beschikbaar in platte tekst op het verzendpad.

De metadata worden echter niet vastgelegd door de inhoudsversleuteling, maar zijn in platte tekst beschikbaar op de servers die betrokken zijn bij de overdracht.

Contentcodering

De uitgebreide beveiliging van e-mailcommunicatie vereist het gebruik van zowel transport- als contentcodering. Bij bijzondere persoonsgegevens moet ook rekening gehouden worden met de inhoud van de mail.

Omdat e-mailmetadata niet beschermd worden door end-to-end encryptie, moet ervoor worden gezorgd dat ze geen gegevens bevatten die een hoog of zeer hoog niveau van bescherming vereisen. In het bijzonder moet het onderwerp neutraal zijn, bijvoorbeeld “Ons gesprek op 01.02.” in plaats van “Uw bloedwaarden”.

Bij de overdracht van persoonsgegevens met normale beschermingseisen is het mogelijk dat in individuele gevallen wordt afgezien van end-to-end encryptie van de inhoudgegevens.

Er moet echter altijd rekening worden gehouden met de uitdrukkelijke wens van de ontvanger om end-to-end encryptie te gebruiken.

Als minimumnorm is ook transportcodering vereist voor de overdracht van persoonsgegevens met normale beschermingseisen.

Bij het opzetten van een eigen e-mailinfrastructuur is het verplicht om rekening te houden met de technische en organisatorische maatregelen die in dit artikel zijn beschreven.

Afhankelijk van het type en de omvang van de gegevens die per e-mail worden verzonden, kan in individuele gevallen een voorafgaande effectbeoordeling, DPIA, vereist zijn.