Terwijl burgers tobben met e-mail, dat een inherent onveilig communicatiemiddel is [1], is Europa bezig met een eigen beveiligd communicatiesysteem, dat ‘e-Delivery’ heet.
In een brief [2] aan de Tweede Kamer schrijft de de minister voor Rechtsbescherming dat e-Delivery:

een belangrijke bouwsteen voor veilige berichtenuitwisseling binnen de EU [is]. E-Delivery wordt ook gebruikt voor andere digitale grensoverschrijdende uitwisseling van informatie, onder meer voor de uitwisseling van bedrijfsinformatie binnen het Interconnectiesysteem Ondernemingsregisters (BRIS) en Peppol, een gestandaardiseerde manier om e-facturen uit te wisselen. E-Delivery is daarnaast de standaard voor informatie-uitwisseling volgens de Single Digital Gateway.

Er wordt gemopperd over dit Europese initiatief (markeringen door mij):

Aanleiding verkenning uitvoeringsaspecten
Nederland steunt de inspanningen om elektronische communicatie tussen justitiële autoriteiten te bevorderen. Het is van groot belang dat de justitiesector, zeker ook in het strafrechtelijk domein, gebruik kan maken van de vele voordelen die verdere digitalisering met zich brengt. Elektronische communicatie tussen justitiële autoriteiten in grensoverschrijdende aangelegenheden dient veilig, snel en betrouwbaar plaats te vinden, en dit voorstel kan daaraan een belangrijke bijdrage leveren. Dat laat onverlet dat het eerdergenoemde voorstel vragen oproept. Deze vragen zien met name op de proportionaliteit van de verplichting om elektronisch te communiceren, gezien de mogelijke financiële consequenties van implementatie van het voorstel. In het BNC-fiche zijn zorgen op dit punt nader toegelicht. De impactanalyse die door de Europese Commissie is uitgevoerd, geeft weinig inzicht in de impact van het voorstel voor elk van de afzonderlijke juridische instrumenten die in de bijlagen bij het voorstel zijn genoemd. Niet inzichtelijk is hoeveel berichten op dit moment op grond van elk van deze instrumenten worden gewisseld, hoeveel tijd dat in beslag neemt, en in welke vormen de huidige communicatie plaatsvindt. Ook ontbreekt een inschatting van de aard, vorm en omvang van de voorziene toekomstige communicatie in de impactanalyse. Dit maakt dat niet duidelijk is of voor elk juridisch instrument de noodzaak tot het maken van de kosten voor implementatie in verhouding staat tot de verwachte opbrengst. Op basis van inzichten uit de nu lopende implementatie van de eerdergenoemde bewijsverkrijgings- en betekeningsverordeningen, die een soortgelijke systematiek kennen, is de verwachting dat het nakomen van de geïntroduceerde verplichting aanzienlijk meer kosten voor de lidstaten met zich brengt dan in de impactanalyse is voorzien. Aan die verwachting ligt onder meer ten grondslag dat op dit moment nog onvoldoende bekend is over de specificaties van de software die de Europese Commissie op dit punt ontwikkelt (zie ook hierna). Om deze redenen is besloten om een verkenning van de uitvoeringsaspecten uit te voeren, in afstemming met justitiële autoriteiten.

Beperkingen bij verkenning uitvoeringsaspecten
(…) In de tweede plaats kunnen op dit moment nog geen uitspraken worden gedaan over de mogelijkheid van het gebruik van door de Commissie ontwikkelde (implementatie en referentie) software voor grensoverschrijdende elektronische gegevensuitwisseling. Het Nederlandse standpunt ten aanzien van deze software houdt kort samengevat in dat de componenten van de software geschikt dienen te zijn om te kunnen worden geïntegreerd in bestaande digitale infrastructuur van lidstaten. Dat betekent dat de software moet voldoen aan de tot dusver geaccepteerde normen, standaarden en architectuurprincipes, zoals ontwikkeld binnen e-CODEX, en dat componenten die onderdeel uitmaken van de software los van elkaar kunnen functioneren. Het is niet duidelijk of de door de Commissie ontwikkelde software ook daadwerkelijk conform deze vereisten zal worden ingericht. Het hiervoor genoemde Nederlandse standpunt is recent ook schriftelijk onder de aandacht van de Commissie gebracht. Indien de Commissie dit standpunt volgt en de software conform oplevert, zal implementatie van het voorstel naar verwachting substantieel lagere kosten met zich meebrengen. Op dit moment is daaromtrent nog geen nadere uitspraak te doen. Nederland volgt de ontwikkelingen met betrekking tot deze software op de voet, onder meer door betrokkenheid van het Openbaar Ministerie bij e-EDES, een oplossing waarvoor eenzelfde type software wordt benut.

Ook op andere terreinen is Europa bezig met digitale communicatie, zie mijn artikel over contactonderzoek bij grensoverschrijdende gezondheidsrisico’s [3].

Ik blijf het vreemd vinden dat Europa haar burgers laat communiceren met onveilige e-mail en zelf een beveiligd messagingsysteem ontwikkelt [4].

Noten

[1] Zie mijn pagina Veilige digitale communicatie voor het MKB, dit artikel en lees ook mijn artikel over de cybersecurity adviezen van de Nederlandse Orde van Advocaten. De NOvA schrijft dat onbeveiligde e-mail ongeschikt is voor uitwisseling van vertrouwelijke informatie (de meeste e-mail is onbeveiligd):

[2] De brief van 14 oktober 2022, ‘Uitvoeringsaspecten verordening en richtlijn digitalisering justitiële samenwerking en toegang tot het recht’.

[3] In het door mij geciteerde artikel 28 wordt in lid 1 gesproken over “The EWRS shall include a selective messaging functionality allowing personal data, including contact and health data, to be communicated only to the national competent authorities involved in contact-tracing measures and medical evacuation procedures. That selective messaging functionality shall be designed and operated so as to ensure safe and lawful processing of personal data and to link with contact-tracing systems at Union level“.

[4] Zie E-mail is onveilig en de Duitsers doen er iets aan | AVG, cybersecurity.