GDPR en e-mail: grootste oorzaak datalekken bij kmo’s

Hoe vaak gebeurt het niet dat u in het nieuws leest dat er zich een datalek heeft voorgedaan?  Er werd bv. een e-mail naar de verkeerde persoon verstuurd waardoor gevoelige persoonsgegevens (loonadministratie van het personeel, financiële gegevens van de onderneming, enz) bij personen terecht kwamen die eigenlijk geen toegang tot deze gegevens zouden mogen hebben. E-mailverkeer moet steeds een aandachtspunt zijn voor iedere ondernemer om de veiligheid van gevoelige data te garanderen.

Het risico van e-mails voor uw kmo

Waarom is e-mail nu net zo risicovol voor uw kmo in het kader van de nakende GDPR-wetgeving?

  1. E-mails behoren tot de ‘ongestructureerde data’ van een bedrijf.
  2. Deze gegevens worden niet in een vast register bewaard.
  3. Ze worden meestal niet gesorteerd .

Daardoor zijn ze risicovoller dan de gestructureerde data van uw onderneming waar u een duidelijk overzicht over hebt. Zo is e-mail vaak makkelijk toegankelijk via de webbrowser en is die niet altijd optimaal beveiligd. Bovendien is het moeilijk om de impact te meten indien een mailbox gelekt of gehackt is. E-mailberichten worden vaak langer bewaard dan nodig in het archief en zo wordt het erg moeilijk om efficiënt aan de rechten van betrokkenen te voldoen. Denk bijvoorbeeld aan Data Access Requests zoals het recht op inzage en het recht op vergetelheid alsook het recht op het overdragen van de verzamelde persoonsgegevens.

Checken uw medewerkers hun mailbox ook via hun mobiele apparaat? Dan zit ook daar een risico op datalekken. Indien zo’n toestel verloren gaat of gestolen wordt, komt de inhoud van uw hele mailbox mogelijk in de foute handen terecht. Als u daarbij ook nog eens rekening houdt met het feit dat veel gebruikers vaak dezelfde wachtwoorden gebruiken voor verschillende softwaretoepassingen, begrijpt u dat dit nefast kan zijn voor de gegevensbeveiliging.

In deze blog bespreken we de verschillende mogelijke juridische en technische oplossingen waarmee u een dergelijk lek kan voorkomen en uw aansprakelijkheid kan beperken.

Hoe nuttig is de disclaimer onderaan een e-mail?

Doel 1 van de disclaimer: Aansprakelijkheid van de verzender beperken of uitsluiten

“Dit e-mail bericht inclusief eventuele ingesloten bestanden kan informatie bevatten die vertrouwelijk is en/of beschermd door intellectuele eigendomsrechten. Dit bericht is uitsluitend bestemd voor de geadresseerde(n). Elk gebruik van de informatie vervat in dit bericht (waaronder de volledige of gedeeltelijke reproductie of verspreiding onder elke vorm) door andere personen dan de geadresseerde(n) is verboden. Indien u dit bericht per vergissing heeft ontvangen, gelieve de afzender hiervan te verwittigen en dit bericht te verwijderen.”

Door het louter toevoegen van een disclaimer, voorkomt u uiteraard niet dat bepaalde informatie bij verkeerde personen terecht kan komen. Maar is de disclaimer eigenlijk wel in staat om kennisname of verspreiding van een bericht tegen te houden?

Eerst en vooral wordt al snel duidelijk dat een disclaimer kennisname van het bericht niet kan voorkomen gezien de plaatsing van de disclaimer in de e-mail. Doorgaans worden disclaimers immers aan het einde van e-mails geplaatst, na het eigenlijke bericht alsook na de persoonsgegevens van de verzender. Op dat moment is het natuurlijk al te laat indien u wilt vermijden dat het bericht door onbevoegden gelezen wordt.

Doel 2 van de disclaimer: Voorkomen van verdere verspreiding indien het in foute handen terechtkomt.

Helaas biedt de disclaimer ook hier onvoldoende garanties aangezien het hier om een exoneratiebeding gaat. Dit betekent dat de clausule door de bestemmeling aanvaard moet worden. De foutieve bestemmeling zou eigenlijk voor het openen van de e-mail de disclaimer te lezen moeten krijgen en deze moeten aanvaarden alvorens de gegevens in te kunnen kijken. Helaas is dit in de praktijk vrijwel nooit het geval.

In bepaalde gevallen kan u een beroep doen op de intellectuele eigendomsrechten die bescherming bieden voor creaties van de geest. Bij een disclaimer denken we zo bijvoorbeeld aan het auteursrecht. Helaas vallen een gewone mededeling, loonbrieven of boekhoudkundige documenten niet onder de bescherming van intellectuele rechten.

We kunnen daarom concluderen dat een disclaimer onvoldoende waarborgen biedt om de inhoud van een e-mail te beschermen wanneer deze naar de verkeerde persoon wordt verzonden. Hieronder geeft IT-partner Datalink een aantal mogelijkheden die effectiever kunnen zijn in het voorkomen van een datalek via e-mail.

Bestaan er effectieve maatregelen om e-mailverkeer veiliger te laten verlopen?

Veel ondernemers denken nu misschien dat het einde van de e-mail nabij is. Maar dit is gelukkig niet het geval. Er bestaan verschillende maatregelen die uw kmo kan toepassen om mailverkeer veiliger te laten verlopen. Maar let op: 100% veiligheid bestaat niet.

Streng e-mailbeleid

Voorzie eerst en vooral een e-mailbeleid voor al uw medewerkers. Stel vaste afspraken op waaraan iedereen zich moet houden. Deze afspraken omvatten onder meer:

  • de structuur van de mailbox;
  • de bewaartermijn van (verschillende categorieën van) e-mails;
  • wanneer het gebruik van e-mail al dan niet aanbevolen is.

Dit kan u bovendien ook opnemen in het arbeidsreglement voor afdwingbaarheidsredenen. Op deze manier kan u vaak al heel wat risico’s vermijden of minimaliseren.

UTM

Unified Threat Management verwijst naar een multifunctioneel netwerkbeveiligingapparaat. Een UTM-firewall kan simultaan alle mogelijke beveiligingsservices zoals anti-virus, anti-spam of anti-spyware en content filtering toepassen. Als kmo is dit erg interessant om op proactieve wijze bedreigingen weg te filteren alvorens ze uw bedrijf zelfs maar kunnen betreden.

DLP

Data Loss Prevention zorgt ervoor dat e-mails tijdelijk in quarantaine komen te staan wanneer ze gevoelige informatie bevatten, of dat ze onherkenbaar worden gemaakt. Patronen zoals gegevens van kredietkaarten of rekeningnummers worden automatisch gedetecteerd. Zo kunnen deze risicovolle e-mails eerst gecheckt worden zodat ze geen kans krijgen om een datalek te veroorzaken binnen uw bedrijfsstructuur.

2FA

Two Factor Authentication zorgt ervoor dat uw bestanden dubbel zo goed beveiligd worden door een dubbel wachtwoord of toegangscode. U logt eerst in met uw vaste login en wachtwoord. Hierna dient u via een aparte tool een unieke code te genereren die u moet ingeven om toegang te krijgen tot de eigenlijke inhoud. Deze unieke toegangscode blijft bovendien slechts enkele minuten of zelfs maar enkele seconden geldig. U kan zo bijvoorbeeld uw mailbox extra beveiligen wanneer u er via de browser toegang tot wil verkrijgen.

Encryptie

Heel belangrijk voor veilig e-mailverkeer is een kwalitatieve encryptie. Bij Microsoft Exchange en Office 365 worden e-mails wel geëncrypteerd getransporteerd, maar daarna worden deze gegevens wel gewoon vrij en niet-versleuteld ingeladen op het apparaat van de ontvanger in een lokale databank. Vraag daarom steeds een toegangscode of wachtwoord wanneer u zich op een toestel wilt aanmelden op de mailbox. We raden ook aan om encryptie op de volledige harde schijf toe te passen om zo de veiligheid van al uw kostbare data te garanderen.

Conclusie

We kunnen concluderen dat e-mailverkeer een risico kan inhouden voor de veiligheid van de gegevens van uw kmo. Hiernaast weten we dat de e-mail disclaimer op zich helaas geen wettelijke waarde heeft. De disclaimer kan echter wel een afschrikkend effect hebben op de ontvanger waardoor deze mogelijk discreter met de inhoud zal omgaan. Dit maakt dat de opname van een disclaimer toch te overwegen valt. Aangezien e-mail niet weg te denken is binnen én tussen kmo’s bestaan er, naar beveiliging van e-mails toe, gelukkig een aantal technische maatregelen die u kan implementeren om  te voorkomen dat een e-mail in de verkeerde handen terechtkomt.

Verloopt het e-mailverkeer binnen uw kmo al conform de GDPR? Of bestaat er nog een kans op datalekken? Contacteer onze gecertificeerde DPO’s en laat een technische & juridische scan uitvoeren om de werking van uw onderneming te optimaliseren.

Vraag hier uw scan aan

Misschien vindt u deze blog-artikels ook interessant?

Mag een KMO nog reclame voeren via mail na 25 mei 2018?

Opgelet ook als werkgever bent u gehouden tot naleving van de GDPR Verordening

Is uw onderneming klaar voor GDPR; general data protection regulation?

Deel dit bericht