Oeps… verkeerde geadresseerde
Uit cijfers van de Autoriteit Persoonsgegevens over het eerste half jaar van 2018 blijkt dat het overgrote deel van de datalekken (64 %) wordt veroorzaakt door het versturen van persoonsgegevens naar de verkeerde ontvanger. Veel ongelukken gebeuren doordat een mailprogramma tijdens het intypen van het e-mailadres al het volledige mailadres voorstelt terwijl je een andere geadresseerde met dezelfde beginletters bedoelde.
De belangrijkste maatregel die organisaties kunnen treffen is medewerkers bewust maken van de risico’s van het gebruik van e-mail voor het versturen van persoonsgegevens. Zet het onderwerp op de agenda van teambesprekingen en neem het mee in een presentatie over informatiebeveiliging. Zorg er ook voor dat in je privacybeleid staat dat medewerkers zorgvuldig met persoonsgegevens omgaan.
Wat kun je als organisatie doen om de kans op e-mail datalekken te verkleinen?
- De meeste e-mail programma’s kun je zo instellen dat een bericht pas na enkele seconden of minuten wordt verzonden. Dit kan soms voldoende zijn om een fout te herstellen.
- Wanneer zowel de ontvanger als de geadresseerde een Office 365-of Microsoft Exchange e-mail account heeft binnen dezelfde organisatie kan een verzonden e-mail nog worden ingetrokken als deze nog niet door de ontvanger geopend is.
- Gebruik BCC (blind carbon copy) in plaats van CC om te voorkomen dat meerdere ontvangers elkaars e-mail adres kunnen zien.
- Persoonsgegevens in een e-mailbijlage (Word, Excel) kunnen eenvoudig worden versleuteld met een wachtwoord. Verstuur het wachtwoord wel via een ander kanaal naar de ontvanger.
- Verstuur niet het bestand zelf, maar een link naar het bestand.
- U kunt in Outlook het gevoeligheidsniveau van een bericht instellen zodat de ontvanger weet dat de informatie vertrouwelijk behandeld moet worden.
- Indien u niet wilt dat een e-mail door de ontvanger wordt doorgestuurd of afgedrukt kunt u in Outlook de machtiging “Niet doorsturen” instellen. Uw computer moet hiervoor wel zijn geconfigureerd voor IRM (Information Rights Management).
- Om te voorkomen dat u een e-mail voortijdig verstuurt is het handig om pas nadat u het bericht hebt geschreven en gecheckt het adres van de ontvanger in te voeren.
- Overweeg het gebruik van software waarmee de e-mail communicatie automatisch wordt versleuteld en die vóór verzending controleert of de juiste ontvanger is geselecteerd.
Moet een verkeerd geadresseerde e-mail met persoonsgegevens altijd worden gemeld bij de Autoriteit Persoonsgegevens?
Nee, dat hoeft niet altijd. Of u een datalek moet melden bij de Autoriteit Persoonsgegevens hangt af van de ernst van het datalek. Om de ernst te kunnen beoordelen, wordt gekeken naar de hoeveelheid en de aard van de gelekte persoonsgegevens. Als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens, dan moet u dit melden. Denk daarbij aan het lekken van bijzondere persoonsgegevens over iemands gezondheid, seksuele leven of politieke gezindheid of gevoelige gegevens over iemands financiële situatie. In een aantal gevallen moet een datalek ook worden gemeld bij de betrokkene zelf.
Het melden van een datalek kan via het Meldloket van de Autoriteit Persoonsgegevens.
Meer weten over privacy of informatiebeveiliging? Neem contact met Spyntri, via info@spyntri.nl.