Veilige digitale communicatie voor het MKB

Het zal niemand zijn ontgaan dat organisaties en instellingen er voor moeten zorgen dat elektronische communicatie veilig plaats vindt. Dat is niet alleen verplicht op grond van de privacywet, de Algemene Verordening Gegevensbescherming (AVG), want die wet gaat alleen over persoonsgegevens van natuurlijke personen. Er zijn ook andere redenen om zorgvuldig met gegevens om te gaan. Veel bedrijfs- en organisatiegegevens dienen vertrouwelijk te worden behandeld, om allerlei redenen.

Hier wordt besproken welke mogelijkheden er zijn voor ondernemingen in het midden- en kleinbedrijf en voor kleine organisaties om veilig elektronisch te communiceren. In het onderstaande wordt eerst e-mail en file transfer besproken, daarna komt messaging (zoals whatsapp en signal) aan de orde.

 

1. E-mail is onveilig

In Nederland lijkt nog niet algemeen bekend te zijn dat e-mail een onveilige communicatievorm is. Niet voor niets schrijven AIVD en en Belastingdienst dat zij niet per e-mail communiceren.

Belastingdienst:
Anderen kunnen uw mail onder ogen krijgen. Doordat uw internetverbinding niet veilig is, bijvoorbeeld. Persoonlijke gegevens die u in uw e-mail zet, kunnen dan op straat komen te liggen (bijvoorbeeld uw burgerservicenummer of uw bankgegevens). En dat willen we voorkomen. Want we moeten samen met u zorgvuldig omgaan met uw gegevens.

AIVD:
U kunt niet e-mailen met de AIVD. E-mailverkeer via internet is kwetsbaar, omdat anderen ongewenst en ongemerkt kunnen meelezen.

 

1.1 Oorzaken onveiligheid e-mail

Die onveiligheid heeft verschillende oorzaken:

1. Toen e-mail en internet in de academische wereld ontstonden, was niet nagedacht over beveiliging. De systemen werden ontwikkeld om informatie te delen en aan het inbouwen van beveiligingsmaatregelen werd niet gedacht.

2. E-mail berichten zijn meestal niet versleuteld. Dat betekent dat de e-mail onderweg gelezen kan worden, niet alleen door geheime diensten (maar de vraag is hoe interessant zij de data van een kleine of middelgrote organisatie vinden) maar ook door criminelen en anderen met slechte bedoelingen. Lees hierover het artikel van Chris van den Hooven, Email is geen brief.

3. Als gebruik wordt gemaakt van e-mail diensten van advertentiebedrijven zoals Google, worden de e-mail en de metadata (kerngegevens zoals afzender, ontvanger, tijdstip, IP-adressen) door de advertentiebedrijven geanalyseerd op informatie waarmee zij hun wereldwijde persoonsprofielen kunnen verrijken. De verzender en ontvanger van de e-mail verschaffen het advertentiebedrijf niet alleen informatie over zichzelf, maar ook over derden, die daar geen toestemming voor hebben gegeven.

4. Tussen de leveranciers van e-mail diensten zitten grote technische verschillen. Ook als het onder 3. genoemde niet aan de orde is, is aan te bevelen voor een Europese leverancier te kiezen en te worden nagegaan of de partij integer is.

5. Er is transportversleuteling mogelijk, maar dit is geen complete oplossing. Met het door de Nederlandse overheid gepropageerde STARTTLS, DANE, DKIM en dergelijke wordt het transportkanaal beveiligd en de ‘echtheid’ van de mailserver van de ontvanger gecontroleerd.

Overigens is het juist instellen van mailservers bij verzender en ontvanger een complexe aangelegenheid, waarbij een fout in de instellingen (configuratie) soms lang onopgemerkt blijft. Een gevolg van dergelijke fouten is dat e-mail kan lekken.

Probleem van deze maatregelen is dat niet is gewaarborgd dat de e-mail onderweg niet wordt opgeslagen en gelezen.
Het is mogelijk om de weg tussen de computer van de verzender en de e-mail server van de verzender te beveiligen. Datzelfde geldt voor de route tussen de e-mail server van de ontvanger en de computer van de ontvanger en voor de opslag van e-mail op de respecievelijke e-mail servers.
Tussen de e-mail server van verzender en ontvanger kunnen vele onveilige schakels zitten. In onderstaand vereenvoudigde plaatje zijn die onveilige schakels oranje aangegeven:

De e-mail, die onderweg is tussen de mailserver van de verzender en de mailserver van de ontvanger, is niet versleuteld. Daardoor kan de e-mail onderweg gelezen en opgeslagen worden.

6. Alleen als de e-mail zelf met bijlagen wordt geëncrypt, lezen er geen ongewenste lezers mee, maar dat vergt een goede infrastructuur en het uitwisselen van encryptiesleutels tussen verzender en ontvanger. Het gebruik maken van alternatieve mogelijkheden, zoals een dataroom of veilige file transfer is daarom beter.

7. De veiligheid van e-mail is mede afhankelijk van de veiligheid van de computers van verzender en ontvanger van de e-mail en de systemen waarin deze hangen, wat hier niet verder wordt besproken. (Dit geldt ook voor andere vormen van veilige overbrenging.)

8. Voor een gewone verzender en ontvanger is niet te verifiëren of de onder 5. eerste volzin genoemde beveiligingsmaatregelen correct zijn toegepast.

 

1.2 Aansprakelijkheid voor e-mail-lekken, boetes

Een onderneming of organisatie die gebruik maakt van onveilige e-mail kan door de benadeelde aansprakelijk worden gesteld voor de schade vanwege het lekken van vertrouwelijke gegevens zoals persoonsgegevens. Die aansprakelijkheid is gebaseerd op:

  • de AVG (als het persoonsgegevens betreft) en
  • het algemene Nederlandse recht in de overige gevallen (met name niet-nakoming van en overeenkomst, onrechtmatige daad en de zorgplicht bij de overeenkomst van opdracht).

Bij het lekken van persoonsgegevens kan de privacytoezichthouder, de Autoriteit Persoonsgegevens, hoge boetes opleggen. Er kunnen zich ook datalekken voordoen die leiden tot sancties door andere toezichthouders, zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB). Daarnaast kunnen benadeelden schadevergoeding claimen. Het risico op claims en sancties kan worden beperkt door voldoende beveiligingsmaatregelen te nemen.

Alertheid op het risico van aansprakelijkheid en beboeting is belangrijk, nu datalekken soms grote schade of grote gevolgen kunnen hebben, bijvoorbeeld:

  • Criminelen kunnen identiteitsfraude plegen met onderschepte vertrouwelijke persoonsgegevens, wat vermogensschade kan opleveren, maar ook onterechte opname in zwarte lijsten van de overheid, banken en dergelijke.
  • Betalingsfraude door middel van de zgn. CEO-fraude kan grote schade veroorzaken. E-mail is niet geschikt voor het geven van betalingsopdrachten. Verzending van facturen per e-mail is kwetsbaar, nu onderweg manipulatie mogelijk is. Niet alleen de overheid en grote organisaties worden getroffen.
  • Kapitaalkrachtige doelwitten worden via datalekken gevonden door lieden met minder goede bedoelingen.
  • Als bij een beursgenoteerd bedrijf vertrouwelijke financiële gegevens uitlekken kan dit leiden tot het stilleggen van de handel in aandelen door de toezichthouder. De schade kan aanzienlijk zijn, onder andere door de kosten die moeten worden gemaakt om advies in te winnen.

Verkeerde adressering van e-mail, bijvoorbeeld aan een onjuist e-mail adres of aan een e-mail adres dat niet meer toebehoort een de beoogde geadresseerde, kan een datalek opleveren. Lees over de schade van e-mail ook het artikel van Brenno de Winter.

 

1.3 Oplossingen

In sommige sectoren worden specifieke e-mail oplossingen ontwikkeld.

Zo kent men in de zorg de zgn. ‘Zorgmail’, waarmee zorgverleners onderling kunnen communiceren, eventueel met een kopie aan de patiënt. Voor de zorg is een speciale informatiebeveiligingsnorm ontwikkeld, die ook e-mail omvat, ‘NTA 7515’.

Met sectorspecifieke oplossingen zoals hiervoor vermeld zijn veel MKB-ondernemingen en kleinere organisaties niet geholpen. Relatief eenvoudige oplossingen voor hen zijn:

1. Inschakelen van professionele ondersteuning, zodat het e-mail verkeer veiliger kan plaats vinden. Daar zit een prijskaartje aan en het geeft geen complete oplossing. Beter is om te kiezen voor de hierna beschreven digitale file transfer mogelijkheid.

2. Gebruik maken van betrouwbare digitale file transfer mogelijkheden, waarbij de verzender bestanden naar een beveiligde map (dataroom) uploadt en de ontvanger een e-mail notificatie krijgt en vervolgens het bestand downloadt. Dit kan een onderneming of organisatie met deskundige hulp zelf realiseren. Alternatief is om gebruik te maken van een professionele in de EU gevestigde leverancier, die aan hoge veiligheidsstandaarden voldoet en zich aan de AVG houdt. Aandachtspunt is dat zo’n leverancier onafhankelijk dient te zijn van advertentiebedrijven en andere handelaren in gegevens.

3. Een door de overheid ontwikkelde veilige oplossing. Helaas zijn Nederland en Europa nog niet op dat idee gekomen. Ik blijf het vreemd vinden dat de Nederlandse overheid triomfantelijk schreef dat de interne e-mail veilig is geworden [1] maar niet zorgt voor een voorziening voor de burgers.

4. Gebruik maken van onafhankelijke messaging, zie hierna.

 

Veilige E-maildiensten

Belangrijk is dat de aanbieder van e-maildiensten niet in de e-mail of in de metadata kijkt. Dit is bij advertentiebedrijven als Google en Facebook het geval en geldt ook voor bijvoorbeeld Microsoft. Er worden dergelijke partijen soms wel betaalde oplossingen aangeboden, waarbij de aanbieder garandeert dat de gegevens vertrouwelijk blijven. Het is aan te bevelen deskundig advies in te winnen.

Naar mijn mening zijn er veel redenen om niet van Amerikaanse providers gebruik te maken, zie ook hierna bij ‘Europe First’. Ook als gebruik wordt gemaakt van in Europa gevestigde aanbieders van e-mail diensten met servers in Europa, is dit geen complete oplossing.

 

Veilige file transfer diensten

Het veilig overbrengen van bestanden kan plaats vinden door een webportaal te laten instellen op een eigen server. Er kan naar de portal worden geüpload en de ontvanger kan vervolgens de bestanden downloaden. Hier is wel technische assistentie voor nodig [2].

Alternatief is om van externe file transfer diensten gebruik te maken. Aandachtspunt daarbij is dat bij sommige diensten geen sprake is van beveiligd oversturen van de gegevens. Er zijn file transfer aanbieders die zowel de inhoud van de verstuurde bestanden als de metadata analyseren en zonder AVG-grondslag voor eigen doelen gebruiken.

Basiseisen die aan de file transfer aanbieder gesteld moeten worden zijn:

  • Is de aanbieder in de EU gevestigd, houdt deze zich aan de AVG en wordt deze op security en dergelijke geaudit?
  • Vindt het digitale verkeer beveiligd plaats?
  • Worden de bestanden veilig opgeslagen op een server in de EU en heeft de aanbieder geen toegang tot de inhoud van de bestanden?

Bekende aanbieders als WeTransfer en DropBox voldoen voor zover mij bekend op dit moment niet aan het voorgaande. Op dit moment zijn er de volgende algemeen beschikbare alternatieven die volgens door mij geraadpleegde deskundigen volwaardig zijn:

 

2. Messaging – maar niet via advertentiebedrijven!

Gebruik van messaging, zoals whatsapp en signal, kan veiliger zijn dan e-mail. Het voordeel is dat op een relatief eenvoudige manier wordt bereikt dat het gehele verkeer tussen verzender en ontvanger versleuteld is.

 

2.1 Aan messaging zitten mitsen en maren

  • Net als bij e-mail, is bij messaging van belang of de leverancier van de dienst integer is. Bij advertentiebedrijven (Facebook, Google c.s.) is dat niet het geval omdat zij verdienen aan de handel in de gegevens die zij via allerlei wegen, onder meer via whatsapp [3], kunnen oogsten. Het verdient de voorkeur om een leverancier in de EU te kiezen, die zich aan de AVG houdt.
  • De messaging-leverancier moet voldoen aan hoge technische standaarden. Anders gezegd: er moet gebruik worden gemaakt van encryptie van hoge kwaliteit, op een zodanige wijze dat de leverancier geen toegang heeft tot de metadata en de inhoud van de berichten en de organisatie moet integer en kwalitatief goed zijn.
  • Niet alle messaging aanbieders geven de mogelijkheid om berichten vanaf een desktop computer te verzenden.

 

2.2 Aansprakelijkheid voor messaging-lekken, boetes

Daar geldt hetzelfde voor als hiervoor besproken bij e-mail.

 

2.3 Vergelijking van messaging aanbieders

Er zijn op dit moment verschillende messaging aanbieders. De keuze dient te worden gemaakt op basis van juridische, organisatorische criteria, waarbij deskundige assistentie is aan te bevelen. Een overzicht van mogelijke criteria is te vinden op de site Securemessagingapps. Aan de hand daarvan kunnen een aantal belangrijke aandachtspunten worden aangegeven:

  • Worden zowel het bericht als de bijlagen geëncrypt? Er zijn maar drie aanbieders die dat doen, Signal, Threema en Wire. Hierna bespreek ik daarom alleen deze drie aanbieders.
  • Is de aanbieder in de EU gevestigd? Van de drie genoemden is dat alleen bij Wire het geval (Duitsland, Ierland). Threema zit in Zwitserland en Signal in de VS.
  • Zijn deze oplossingen open source? Dat betekent dat het mogelijk is om de broncode van de systemen te controleren op beveiligingsproblemen, hetgeen aanzienlijk meer vertrouwen in de betrouwbaarheid ervan oplevert.
  • Is de aanbieder recent getoetst door een onafhankelijke auditor? Is bij alle drie het geval.
  • Hoe wordt de aanbieder gefinancierd? Alleen Threema wordt door de klanten betaald. Bij Signal en Wire staan financiers genoemd. Bij Signal is voor zover mij bekend sprake van not-for-profit leveranciers die cybersecurity en databescherming voorstaan. Geen van de drie wordt door een advertentiebedrijf gefinancierd.
  • Zijn er voldoende beveiligingsmaatregelen? Dit is volgens de genoemde bron bij alle drie aanbieders het geval.
  • Worden de metadata versleuteld? Bij Wire meestal, bij de overige twee compleet.
  • Kan de aanbieder de berichten lezen? Dat gebeurt bij geen van de drie aanbieders.
  • Is tweefactor authenticatie mogelijk? Niet bij Signal, wel bij de andere twee. [4]

Belangrijk is of berichten ook met een desktop app verzonden en ontvangen kunnen worden. Dat is makkelijk voor zowel verzender als ontvanger. Bij Signal is dat het geval.

 

3. Europe First!

In het voorgaande is een aantal keren aan de orde geweest dat het de voorkeur verdient om een leverancier in de EU te kiezen. Daar zijn een aantal redenen voor:

  • De AVG is van toepassing op leveranciers in de EU. De veiligheidsnormen van de AVG zijn ook relevant voor andere vertrouwelijke gegevens dan persoonsgevens. Bij niet-naleving kunnen de leveranciers worden aangepakt door de Europese databeschermingstoezichthouders. In theorie kan dat ook bij niet-Europese leveranciers, maar het is om allerlei juridische en praktische redenen lastiger.
  • Het is eenvoudiger om aan kwaliteits- en integriteitsinformatie te komen als de leverancier in de EU gevestigd is. In de toekomst zal dat door Europese certificeringssystemen makkelijker kunnen worden.
  • Procederen tegen een falende leverancier is minder lastig als deze in de EU is gevestigd.
  • Er is alle reden om een volwassen IT-industrie in Europa te bevorderen.

 

4. Tot slot

Perfecte veiligheid bestaat ook niet in het digitale domein. Wel zijn er diverse mogelijkheden om de risico’s passend te beperken. Dat is voor MKB-ondernemingen en kleine organisaties van belang, onder meer om te kunnen voldoen aan de beveiligingseisen die door de AVG worden gesteld.

Voor juridische ondersteuning op het gebied van privacy en aanverwante onderwerpen kunt u terecht bij het privacy team van Pellicaan Advocaten.

Noten

[1] https://magazines.rvig.nl/idee/2018/2/diginetwerkmail
[2] Een bruikbaar product is momenteel Cryptshare, het kan zelf gehost worden en worden geïntegreerd met Outlook.
[3] Whatsapp: de inhoud van de berichten wordt niet gelezen, wel de metadata. Er worden niet versleutelde back-ups in de cloud gemaakt, als het product niet goed wordt ingesteld. Voor het gebruik van Whatsapp is nodig dat het adresboek wordt opengesteld door zowel verzender als ontvanger. Whatsapp uploadt de adresboeken van afzenders en ontvangers en gebruikt deze voor advertentie- en analysedoeleinden, wat in strijd met de AVG is. Toestemming is ten aanzien van de in de adresboeken opgenomen persoonsgegevens van derden geen AVG-grondslag.
[4] Let op dat het voorgaande gebaseerd is op https://www.securemessagingapps.com/ en in de loop van de tijd kan veranderen.

 

— Deze tekst is afgesloten op 9 september 2019,
wat hier is vermeld kan na die datum zijn veranderd —

Mijn dank aan André Koot en Chris van den Hooven voor het leveren van commentaar op dit bericht. Voor tips, aanvullingen en verbeteringen houd ik me aanbevolen.


Let op:
In deze tekst wordt inleidende informatie gegeven, waarbij niet alle aspecten worden behandeld. Die informatie is mede bedoeld als achtergrond voor advisering. De informatie kan niet worden gebruikt voor de beoordeling van specifieke situaties. Voorts kan de informatie verouderen door wijziging van de techniek, van de regelgeving of andere nieuwe ontwikkelingen. Neem voor juridisch advies dus altijd contact op met Pellicaan Advocaten en voor IT-advies met deskundigen op dat terrein.


 

Illustratie

Sommige mensen moeten extra voorzichtig zijn, zoals onderzoeksjournalisten die met gevoelig onderzoek bezig zijn, mensen van de opsporing en mensen met bepaalde posities in de financiële sector. Een praktijkdeskundige is Edward Snowdon. Hij schreef op 21 september 2019 over e-mail: “Email is a fundamentally insecure protocol that, in 2019, can and should be abandoned for the purposes of any meaningful communication. Email is unsafe“. Lees onderstaande tweet en de tips die hij in de draad geeft.

 

 

Op dit blog zijn berichten over de onveiligheid van e-mail te vinden via deze tag.