Waarom e-mailen grote risico's met zich meebrengt onder de GDPR

5 min lezen - gepubliceerd op 8 maart 2018

In 2017 vonden meer dan 10.000 datalekken plaats. Meer dan de helft van deze fouten werd veroorzaakt door menselijk handelen.

Vanaf het moment van lekken of hacken kunnen criminelen aan de gang met de gegevens. Dat doen ze in het geval van grote aantallen bijna nooit in een keer. En zelfs als hackers niets doen met jouw gegevens, is het gevaar altijd aanwezig dat anderen dat wel gaan doen.

Hierboven een voorbeeld van lekken van persoonsgegevens op grote schaal door een externe fout. Een lek kan natuurlijk ook binnen jouw organisatie door een eigen medewerker veroorzaakt worden.

Voorbeeld:
Thea werkt bij een groot regionaal ziekenhuis. Zij levert maandelijks een database aan zodat een externe partij een managementrapportage kan maken. In deze database zitten allerlei persoonsgegevens en andere privacygevoelige informatie. Denk daarbij aan namen en burgerservicenummers, maar ook aan DBC’s en doorverwijzingen. Om deze omvangrijke en vooral gevoelige data te versturen heeft Thea meerdere opties. Ze kan de data in kleine delen via de ‘normale’ e-mail versturen, een USB-stick per post sturen of gebruikmaken van een publieke online oplossing voor grote bestanden.

En dan gaat het mis. Thea kiest ervoor om de data vanuit Outlook via de e-mail te versturen, zoals ze dit altijd doet. Ze tikt ‘Ro’ in en het e-mailprogramma vult de naam aan. Ze drukt op ‘verzenden’ en de e-mail is de deur uit. De data gaan echter niet naar Robbert van de externe partij, maar naar Roos van de thuiszorgorganisatie waar Thea ook veel mee mailt.

Duizenden gevoelige gegevens liggen op straat. De schade is niet te overzien. Door de onjuiste ontvanger te selecteren gaf Thea ‘onrechtmatig’ toegang. Alle betrokkenen moeten op de hoogte worden gesteld en de CISO van het ziekenhuis moet het datalek melden bij de Autoriteit Persoonsgegevens.

 

Schering en inslag


Dergelijke data-incidenten zijn binnen veel organisaties schering en inslag, maar komen lang niet altijd aan het licht. De oorzaak van deze incidenten is meestal tweeledig. Enerzijds zijn medewerkers zich niet bewust van de gevolgen van hun handelen. Anderzijds beschikken veel organisaties niet over systemen om e-mails en bestanden veilig te versturen.

 

Vijf redenen waarom lekken via e-mail haast onvermijdelijk is


E-mail is een van de meest gebruikte communicatiemethoden binnen organisaties, en tegelijkertijd ook een van de meest foutgevoelige. Hoe komt het toch dat beveiligingslekken via e-mail zo vaak voorkomen? Lees hieronder meer over de vijf meest voorkomende redenen.

  1. E-mail is niet standaard goed beveiligd

    Bij veel organisaties worden e-mails niet standaard beveiligd en gaat alle e-mail onversleuteld rond. Dit betekent dat iedereen die de e-mail krijgt, deze ook kan lezen. Dus ook iemand die de e-mail onterecht binnen heeft gekregen.

    Ook bijlagen zijn vaak niet beveiligd. Terwijl werkmappen in Excel, Word-documenten en PDF-bestanden eenvoudig te vergrendelen zijn met wachtwoorden. Voor de veiligheid zouden de gebruikers de wachtwoorden niet per e-mail, maar op een andere manier (bijvoorbeeld per sms) naar de ontvanger moeten sturen. In de praktijk doet bijna niemand dit, waarschijnlijk omdat dit extra tijd kost.

 

  1. E-mail is niet traceerbaar

    Stel: je wilt een e-mail versturen naar collega Jansen. Nadat je op de verzendknop hebt gedrukt, besef je dat je de e-mail per ongeluk hebt verstuurd naar iemand die wel Jansen heet, maar die bij een andere organisatie werkt. Vanaf dat moment is het hek van de dam. Niemand kan nog achterhalen wat er met de gegevens in de e-mail gebeurt. Wordt de e-mail ongelezen weggegooid of wordt deze doorgestuurd?

    In de praktijk is dit een groot probleem. Op het moment dat je niet meer kunt achterhalen wie de gegevens allemaal heeft gezien, heb je geen controle over de informatie. De mogelijkheid tot het intrekken van foutief verzonden e-mails is er vaak niet. Laat staan dat er technische mogelijkheden zijn om inzicht te krijgen in de datastroom die op gang is gekomen.

 

  1. Interne e-mail krijgt minder aandacht

    Ook een lek binnen jouw organisatie ontstaat vrij gemakkelijk. Een aantal medewerkers overlegt over een behandelplan voor een patiënt. De hele organisatie wordt meegenomen in de CC en iedereen weet wat de patiënt mankeert.

    De kans dat gevoelige informatie ‘op straat’ terechtkomt, is bij het gebruik van interne e-mail kleiner. Helaas is dat voor de wet geen criterium: een e-mail met gevoelige informatie moet je altijd veilig versturen, ook als de e-mail binnen eigen muren blijft.

 

  1. Standaard e-mailboxen zijn eenvoudig te hacken

    Het kan een minister of de Democratische partij in de VS overkomen, dus waarom zou het jou niet gebeuren? Er wordt een mailbox gehackt. Vaak gebeurt dit omdat de beveiligingsmaatregelen niet adequaat zijn. Het e-mailaccount van minister Kamp werd gekraakt door middel van phishing. Soms krijgen computercriminelen toegang tot het e-mailaccount omdat het een zwak wachtwoord heeft of omdat er geen tweede factor authenticatie is gebruikt. Je wilt niet dat iemand die onrechtmatig toegang krijgt tot de inbox ook meteen toegang heeft tot alle informatie die in deze inbox staat.

    Spoofing

    Er zijn ook andere manieren waarop kwaadwillenden misbruik maken van e-mail. Een voorbeeld hiervan is spoofing. Een aanvaller maakt het e-mailadres van iemand in jouw organisatie na en verstuurt e-mails vanaf dat adres. De collega van de financiële administratie krijgt een factuur binnen van iemand van het Raad van Bestuur, en betaalt deze netjes. In werkelijkheid is de factuur ingediend door een crimineel, die ook de ontvanger is van het geld. Met de juiste beveiligingsmaatregelen zijn dergelijke aanvallen te voorkomen.

 

  1. Medewerkers zijn zich niet bewust van het belang van veilig e-mailen

    De gemiddelde medewerker ontvangt tientallen e-mails per dag. E-mail is een automatisme. Dit betekent dat medewerkers onbenullige zaken (zoals taart omdat Johan jarig is) bijna op dezelfde manier communiceren als cliëntgegevens of een nieuwe inkoopovereenkomst. Medewerkers zijn zich er niet van bewust dat ze gevoelige informatie op een andere manier moeten behandelen dan andere e-mail. Vrijwel alle datalekken met e-mail zijn het gevolg hiervan. Eigenlijk is de mens de zwakste schakel en de oorzaak van bijna alle lekken via e-mail.

 

Moet je e-mail nog wel een plaats geven binnen jouw organisatie?


Als je dit leest, lijkt het haast alsof e-mail per direct verbannen moet worden uit de organisatie. Dat is zeker niet zo. Met de GDPR en de NTA 7516 is het van groot belang om na te denken over hoe e-mailen binnen en vanuit jouw organisatie veiliger kan.

 

Technische tips om veiliger met e-mail om te gaan:

  • Voorzie e-mails standaard van goede versleuteling. Dit zorgt ervoor dat alleen jij en het contact waarmee je communiceert de e-mails kunnen lezen.
  • Zorg ervoor dat alleen de bedoelde ontvangers toegang hebben tot de informatie.
  • Zet software in die waarschuwt wanneer een e-mail naar een verkeerde ontvanger lijkt te gaan.
  • Bied de mogelijkheid om een bericht in te trekken als het fout is gegaan.

lees Alles over veilig mailen en bestanden delen 

Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.