E-mail is onveilig en de Duitsers doen er iets aan | AVG, cybersecurity

In Nederland wordt zorgvuldig geheim gehouden dat e-mail volstrekt onveilig is. Het probleem van e-mail is dat de inhoud onderweg kan worden onderschept en zelfs gewijzigd. Zo kan op een factuur het rekeningnummer worden gewijzigd, wat factuurfraude vereenvoudigd. Om die reden is e-mail ongeschikt voor alle soorten vertrouwelijke communicatie, lees daarover ook dit. Verstuur dus geen facturen of andere vertrouwelijke informatie per e-mail.

Als persoonsgegevens per gewone e-mail worden verzonden, handelt de verzender daarmee in strijd met de Europese privacywet, de AVG. Tot nu toe is de Nederlandse privacytoezichthouder niet duidelijk geweest over de onveiligheid van e-mail.

E-mail aanbevelingen Datenschutzkonferenz
In Duitsland is dat anders, daar heeft de Datenschutzkonferenz (DSK), het samenwerkingsverband van privacytoezichthouders (er zijn daar toezichthouders per Bundesland en voor de landelijke overheid), zich over het onderwerp uitgelaten. Op 26 mei jl. hebben zij een persbericht gepubliceerd en bij de oriënteringshulpen staat met als datum 12 mei jl. een document over te nemen maatregelen.

In het persbericht laat DSK weten dat degenen die persoonsgegevens verwerken (verantwoordelijken en verwerkers) maatregelen moeten nemen vanwege de onveiligheid van e-mail. De AVG-verplichting tot databescherming strekken zich niet alleen uit tot de inhoud van de e-mail, maar ook tot de omstandigheden van de communicatie (zoals metadata), als daaruit persoonsgegevens afgeleid kunnen worden. Door middel van transportversleuteling en eind-tot-eind-encryptie kunnen de datalek-risico’s beperken. Transportversleuteling biedt alleen een basisbescherming en is een minimumeis, aldus DSK. De beste veiligheid wordt met eind-tot-eind-versleuteling bereikt.

DSK is van mening dat de maatregelen die in de oriënteringshulp vermeld zijn moeten worden genomen. Die maatregelen zijn:

  • Transportversleuteling, dit is altijd verplicht.
  • Eind-tot-eind-encryptie is vereist als de communicatie een hoog risico voor de rechten en vrijheden van personen oplevert.

Daarbij dient gebruik te worden gebruikt van gekwalificeerde IT-dienstverleners. Zorgvuldige selectie van IT-dienstverleners is belangrijk, omdat hun fouten op grond van de AVG worden toegerekend aan degene die van hun diensten gebruik maakt.

Encryptie-angst bij de opsporing
Opsporingsdiensten vinden het fijn dat elektronische communicatie niet geëncrypt is, omdat ze er dan makkelijk bij kunnen. Daarmee brengen ze degenen die elektronisch communiceren in gevaar. Als zij zo graag toegang willen hebben tot de elektronische communicatie, is de oplossing dat de overheid zelf versleutelde communicatie aanbiedt, zoals in Duitsland gebeurt met de “Volksverschlüsselung“.

 

Meer informatie:

DSK:

Overig:

 

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s