5 ‘securitysmoesjes’ die van elke e-mail een potentieel datalek maken

3 min lezen - gepubliceerd op 16 januari 2018

Het is belangrijk dat je persoonsgegevens altijd veilig verstuurt. Dat besef is steeds meer aanwezig op de werkvloer. Toch horen ZIVVER-directeuren Rick en Wouter nog steeds talrijke irrationele argumenten om van deze regel af te wijken. Welke van deze ‘securitysmoesjes’ komen het vaakst voorbij? Wouter bespreekt ze stuk voor stuk.

 

Securitysmoesje 1:  Zo’n klein bestandje heeft toch geen beveiliging nodig?

De omvang van de data is vaak doorslaggevend. Hoe groter het opgevraagde bestand, des te groter de kans dat men de data veilig verstuurt. Op zich geen onlogische gang van zaken, gebaseerd op een snelle inschatting van de gevolgen van een eventueel datalek. In de beleving van de verzender neemt het risico toe met de hoeveelheid data.

De wetgever ziet dat echter anders: een datalek is een datalek, ook als daar slechts één persoon bij betrokken is. De General Data Protection Regulation (GDPR of AVG) en de NTA 7516 introduceert bovendien de mogelijkheid dat belangenorganisaties andere betrokkene benaderen voor een gezamenlijke rechtszaak. Als het bij één patiënt fout gaat, is de kans immers groot dat andere patiënten - zonder het te weten - ook het risico lopen om slachtoffer te worden.

Naast een mogelijke schadeclaim is reputatieschade dan al onvermijdelijk. Conclusie: wie persoonsgegevens onveilig verstuurt omdat het slechts gaat om een kleine hoeveelheid, gaat uit van een schijnargument met potentieel forse gevolgen.

 

Securitysmoesje 2: De ontvanger heeft zelf om de informatie gevraagd 

Onlangs vroeg mijn moeder haar ziekenhuis om een kopie van het behandelverslag van haar oogarts. Die kreeg ze prompt per e-mail toegestuurd, inclusief naar naam, volledige adres, patiëntnummer, verzekeringsnummer, BSN en het gehele behandelverslag. Onderaan de verwijsbrief stond wel een waarschuwing: ‘Let op, dit verslag bevat mogelijk een burgerservicenummer.’ Wie die mail zou onderscheppen, weet opeens wel heel veel van mijn moeder. Het is ook de vraag wat de functie was van de waarschuwing helemaal onderaan de verwijsbrief. Mag je die negeren als een ontvanger zelf om gegevens heeft gevraagd?

Soortgelijke situaties treffen we ook aan bij notarissen en advocaten. Op verzoek van de klant versturen zij een kopie van een testament, huwelijkse voorwaarden of koopakte vaak via e-mail. Als de klant of patiënt er om vraagt, is beveiliging kennelijk niet belangrijk. Of denken we misschien dat het risico op een datalek voor rekening van de klant komt als hij zelf om informatie heeft gevraagd? Dat klinkt wel makkelijk. Tot de informatie verkeerd terecht komt natuurlijk.

 

Securitysmoesje 3: Voor collega’s heb je geen beveiliging nodig

Als je een collega een e-mail stuurt, denk je vaak niet direct aan beveiliging. De kans dat gevoelige informatie ‘op straat terechtkomt’ is bij het gebruik van interne e-mail immers kleiner. Helaas is dat voor de wet geen criterium: een e-mail met gevoelige informatie moet je altijd veilig versturen, ook als die binnen eigen muren blijft. Zodra persoonsgegevens onder ogen komen van iemand die daarvoor geen toestemming of noodzaak had, is er sprake van een datalek.

Bovendien zijn er genoeg pijnlijke scenario’s denkbaar met gelekte interne informatie in de hoofdrol. Geen enkele werkgever ziet graag informatie over bijvoorbeeld salaris, reorganisaties, behandelplannen of testuitslagen bij de verkeerde medewerker terecht komen. Voorkomen is beter dan genezen. We kennen gevallen waarbij sprake was van een intern lek over salarisgegevens. De betrokken managers moesten meerdere keren geheimhoudingsverklaringen ondertekenen en aantonen dat de gegevens nergens waren opgeslagen. Het eerste is irritant, maar bedenk eens hoe ingewikkeld het is om aan te tonen dat je iets niet hebt gedaan…

 

Securitysmoesje 4: De ontvanger zorgt wel voor goede beveiliging

Gemeentes en andere partijen moeten regelmatig informatie delen met de politie. Dat gebeurt opmerkelijk vaak via onbeveiligde e-mail. Belangrijke drijfveer is de overtuiging dat ‘de politie zijn beveiliging ongetwijfeld goed voor elkaar heeft’. Dezelfde gedachte geldt voor andere partijen waarvan je als verzender vermoedt dat de beveiliging degelijk is. Dat is een misplaatste redenering, nog los van de vraag of je wel zeker weet of alles echt zo goed op orde is. Ook als je een e-mail aan een extreem goed beveiligde ontvanger verstuurt, kan iemand die informatie onderweg onderscheppen. Met alle onwenselijke gevolgen van dien. En als je de mail per ongeluk stuurt aan de verkeerde ontvanger (die helemaal niet bij de politie werkt), dan zit je toch echt met een datalek.

 

Securitysmoesje 5: De ontvanger zit vast niet te wachten op al dat extra gedoe

Zorgprofessionals, ambtenaren en advocaten vinden het vaak moeilijk om hun klanten op te zadelen met ‘extra gedoe’. Je ziet ze vaak een inschatting maken: hoeveel klanten of patiënten irriteren zich hieraan, of openen deze e-mail niet omdat ze een extra stapje moeten zetten? Die inschatting is irrationeel. Als één van de honderd ontvangers in het verleden heeft geklaagd, projecteren veel mensen die ervaring onterecht op de 99 andere ontvangers die nergens een probleem van maken. Sterker nog, je doet daarmee de vele ontvangers die de veilige omgang met hun gevoelige gegevens wel waarderen behoorlijk tekort!

En net als bij de voorgaande overwegingen hebben de wetgever, journalisten, klanten en ketenpartners hier weinig begrip voor. Wie persoonsgegevens verstuurt, moet altijd de risico’s kennen en zelf maatregelen nemen. Smoesjes helpen nooit om reputatieschade te beperken, of een hoge boete te voorkomen.

 

Checklist GDPR

Dit blog geeft je een beeld van wat er allemaal bij veilig mailen komt kijken. Het is een belangrijk onderdeel van de GDPR. In onze checklist staan alle stappen die je moet nemen naar GDPR compliance. Het document gaat dieper in op zaken als het opstellen van een verwerkersovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken.

 Klik hier om de checklist GDPR te downloaden 

Picture of Wouter Klinkhamer

Wouter Klinkhamer

Wouter was van de oprichting in 2005 tot 2016 een vaste waarde in het team van Gupta Strategists. In die tien jaar groeide Gupta van een nieuwe nichespeler met 5 consultants naar de marktleider in strategisch zorgadvies in Nederland met 25-30 consultants. Wouter begon zijn periode bij Gupta als strategist en nam afscheid als partner. Wouter is bij ZIVVER betrokken vanaf het eerste moment dat Rick (op dat moment collega bij Gupta) met het idee speelde een oplossing te maken voor alle problemen rondom veilige uitwisseling van gevoelige informatie. Hij geniet ervan om ZIVVER te ontwikkelen van een goed idee naar wereldwijd succes. Zijn studieachtergrond als Bedrijfskundige en Jurist is nu van grote waarde om het bedrijf achter het idee zo goed mogelijk te laten werken. Je kunt Wouter tegenkomen in het Concertgebouw, op de racefiets of wandelend op de hei.