In Nederland wordt zorgvuldig geheim gehouden dat e-mail volstrekt onveilig is. Het probleem van e-mail is dat de inhoud onderweg kan worden onderschept en zelfs gewijzigd. Zo kan op een factuur het rekeningnummer worden gewijzigd, wat factuurfraude vereenvoudigd. Om die reden is e-mail ongeschikt voor alle soorten vertrouwelijke communicatie, lees daarover ook dit. Verstuur dus geen facturen of andere vertrouwelijke informatie per e-mail.

Als persoonsgegevens per gewone e-mail worden verzonden, handelt de verzender daarmee in strijd met de Europese privacywet, de AVG. Tot nu toe is de Nederlandse privacytoezichthouder niet duidelijk geweest over de onveiligheid van e-mail.

E-mail aanbevelingen Datenschutzkonferenz
In Duitsland is dat anders, daar heeft de Datenschutzkonferenz (DSK), het samenwerkingsverband van privacytoezichthouders (er zijn daar toezichthouders per Bundesland en voor de landelijke overheid), zich over het onderwerp uitgelaten. Op 26 mei jl. hebben zij een persbericht gepubliceerd en bij de oriënteringshulpen staat met als datum 12 mei jl. een document over te nemen maatregelen.

In het persbericht laat DSK weten dat degenen die persoonsgegevens verwerken (verantwoordelijken en verwerkers) maatregelen moeten nemen vanwege de onveiligheid van e-mail. De AVG-verplichting tot databescherming strekken zich niet alleen uit tot de inhoud van de e-mail, maar ook tot de omstandigheden van de communicatie (zoals metadata), als daaruit persoonsgegevens afgeleid kunnen worden. Door middel van transportversleuteling en eind-tot-eind-encryptie kunnen de datalek-risico’s beperken. Transportversleuteling biedt alleen een basisbescherming en is een minimumeis, aldus DSK. De beste veiligheid wordt met eind-tot-eind-versleuteling bereikt.

DSK is van mening dat de maatregelen die in de oriënteringshulp vermeld zijn moeten worden genomen. Die maatregelen zijn:

• Transportversleuteling, dit is altijd verplicht.
• Eind-tot-eind-encryptie is vereist als de communicatie een hoog risico voor de rechten en vrijheden van personen oplevert.

Daarbij dient gebruik te worden gebruikt van gekwalificeerde IT-dienstverleners. Zorgvuldige selectie van IT-dienstverleners is belangrijk, omdat hun fouten op grond van de AVG worden toegerekend aan degene die van hun diensten gebruik maakt.

Encryptie-angst bij de opsporing
Opsporingsdiensten vinden het fijn dat elektronische communicatie niet geëncrypt is, omdat ze er dan makkelijk bij kunnen. Daarmee brengen ze degenen die elektronisch communiceren in gevaar. Als zij zo graag toegang willen hebben tot de elektronische communicatie, is de oplossing dat de overheid zelf versleutelde communicatie aanbiedt, zoals in Duitsland gebeurt met de “Volksverschlüsselung“.

Meer informatie:

DSK:

• Persbericht (pdf, 2 pagina’s) DSK van 26 mei 2020, “Schutz personenbezogener Daten bei der Übermittlung per E-Mail“.
• Oriënteringshulp (pdf, 6 pagina’s) DSK, “Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“.
• Startpagina DSK; Orientierungshilfen.

Overig:

• Meer over Volksverschlüsselung op de Volksverschlüsselungswebsite. Doel van dit systeem is dat versleuteling op een laagdrempelige manier voor alle Duitsers beschikbaar is.
• In Duitsland is er een Bundesamt für Sicherheit in der Informationsstechnik (BSI). Zij geven voorlichting, onder meer Privat bleibt privat – verschlüsselte Kommunikation mit E-Mails.

In Berlijn weten ze wel dat e-mail lek als een mandje is #CyberSecurity https://t.co/meXKe2oOHZ

— Ellen Timmer (@Ellen_Timmer) June 15, 2020

Aanvulling 9 december 2020
Op security.nl stond het artikel Overheid heeft e-mailbeveiliging nog altijd niet overal op orde.