De afzender… de zwakste schakel?

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors. De AP breidt daarom fors haar capaciteit uit om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen.

In circa twee derde (63%) van de datalekken, die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan de verkeerde ontvanger zijn gestuurd. De overige 37% bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren op gestolen device (notebook, telefoon, tablet e.d.), hacking, phising of malware. Het gaat in de meeste gevallen om NAW gegevens, mailadressen (= voor velen ook inlogcode), gegevens over geslacht, medische gegevens en BSN.  

Maakt jouw organisatie deel uit van die 63%, of is er tot nu toe nog niet een dergelijk datalek geweest? Heeft jouw organisatie bewust (passende) maatregelen getroffen om problemen rondom communicatie en bestandsoverdracht te voorkomen? Zijn deze maatregelen zelf bedacht en ontwikkeld, of wordt gebruik gemaakt van ervaring en ontwikkelingen elders? 

Wat goed is voor anderen, kan ook goed zijn voor jouw organisatie!

Soms zijn deze ervaringen en ontwikkelingen vastgelegd in best-practices en/of standaarden. In Nederland worden normalisatie en standaarden en normen gepubliceerd en ook regelmatig tot stand gebracht onder de aansturing van de NEN. 

Een ontwikkeling, goed voor de veiligheid van e-mail, bestandsoverdracht, chatten,….

Op 15 mei 2019 is door de NEN de NTA[1] 7516 uitgebracht. Deze, in Nederland ontwikkelde norm, beschrijft aan welke eisen organisaties die gezondheidsinformatie verwerken moeten voldoen voor hun adhoc communicatie via e-mail, chat, portalen etc.

 [1] NTA – Nederlands Technische Afspraak. Dat betekent dat in beginsel elke partij met een belang of expertise mee kan beslissen over wat er in de NTA zal worden vastgelegd. Ruim 50 vertegenwoordigers van de volgende stakeholders praten en beslissen mee over wat er in de NTA zal worden vastgelegd: (grote) zorginstellingen, Patiënt Federatie, adviesbureaus, leveranciers van veilige mail-applicaties (een breed draagvlak). Net als een boek, een cd-rom of een andere publicatie worden normen – zowel op papier als digitaal – beschermd door het auteursrecht. Normen, richtlijnen en andere producten mogen dan ook niet verspreid of gedeeld worden. 

De NTA7516: https://www.werkenmetnen7510.nl/publicaties/nta-7516-2019/sec_foreword

N.B. De volledige NTA is kosteloos te downloden via de site van de NEN: https://www.nen.nl/NEN-Shop/Norm/NTA-75162019-nl.htm

De betekenis van deze norm in het kader van de AVG

Leveranciers die kunnen voldoen aan de voornoemde norm beschikken hierdoor over “passende maatregelen” voor veilige communicatie en bestandsoverdracht. En …. verminderen de kans op een datalek, dat moet worden gemeld bij de AP, aanzienlijk. 

Hoe staat jouw organisatie er voor? Welke passende maatregelen heeft jouw organisatie genomen. Wat zeg jij hierover tegen de diverse betrokkenen? 

Ook jouw organisaties communiceert met en over gegevens die niet bij derden terecht moeten komen. Enkele voorbeelden: 

• Offertes, ontwerpen, commerciële correspondentie, dossiers.
• Financiële gegevens, bankgegevens.
• Personeelsgegevens, Cv’s,
• Bijzondere persoonsgegevens (juridisch, medisch, levensovertuiging, e.d.)
• Persoonsgegevens van klanten, leveranciers, relaties, prospects, e.d.
• Mailadressen, cookies, e.d. 

Hanteer jij de volgende, veel voorkomende en goedbedoelde, maatregelen?

• De Disclaimer, als onderdeel van de handtekening van de e-mail.  Een dergelijke disclaimer heeft echter geen enkele juridische betekenis en waarde. 

• Een andere, mooie, welwillenden belofte: “Wij hechten veel waarde aan uw privacy. In deze privacyverklaring vertellen wij u daarom graag hoe wij met uw persoonsgegevens omgaan wanneer u onze website bezoekt en gebruik maakt van onze diensten.

AVG artikel 25 ‘privacy door ontwerp en standaardinstellingen

Eén van de gevolgen van de AVG is, dat ALLE nieuwe, of gewijzigde, diensten en producten moeten voldoen aan de VERPLICHTING, genoemd in artikel 25: ‘privacy door ontwerp en standaardinstellingen’. In de praktijk vaak aangeduid met de Engelse benamingen Privacy by Design en Privacy by Default. Dit houdt kort gezegd in dat privacy en gegevensbescherming een eis is bij ontwikkelen van beleid of het realiseren/wijzigen van informatiesystemen, diensten en producten, waarmee persoonsgegevens worden verwerkt.  

Dus ook jouw mailprogramma!

Een “AVG ontwerp” (bron: Handleiding Algemene verordening gegevensbescherming. Min. van Justitie en Veiligheid) houdt rekening met de volgende elementen:

• Stand van de techniek.
• Uitvoeringskosten.
• Aard, omvang, context en het doel van de verwerking.
• De risico’s voor de betrokkene.

Deze bepalen gezamenlijk de te nemen technische en organisatorische maatregelen om:

• De gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren.
• De nodige waarborgen in te bouwen ter naleving van de eisen uit de Verordening.

Mogelijke ontwerpstrategieën:   

De ontwerpcriteria voor de zorgsector ook goed (genoeg) voor jouw organisatie? 

De Nederlandse Technische Afspraak 7516 is in eerste instantie ontwikkeld voor de medische sector. Voor een aantal specifieke aandachtspunten, zie:

Met als doel de risico’s te verminderen, de weerbaarheid te vergroten, te voldoen aan de AVG (verantwoorden, aantoonbaar passende maatregelen) en vooral in control te zijn.

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors. De AP breidt daarom fors haar capaciteit uit om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen.

In circa twee derde (63%) van de datalekken, die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan de verkeerde ontvanger zijn gestuurd. De overige 37% bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren op gestolen device (notebook, telefoon, tablet e.d.), hacking, phising of malware. Het gaat in de meeste gevallen om NAW gegevens, mailadressen (= voor velen ook inlogcode), gegevens over geslacht, medische gegevens en BSN.  

Maakt jouw organisatie deel uit van die 63%, of is er tot nu toe nog niet een dergelijk datalek geweest? Heeft jouw organisatie bewust (passende) maatregelen getroffen om problemen rondom communicatie en bestandsoverdracht te voorkomen? Zijn deze maatregelen zelf bedacht en ontwikkeld, of wordt gebruik gemaakt van ervaring en ontwikkelingen elders? 

Wat goed is voor anderen, kan ook goed zijn voor jouw organisatie!

Soms zijn deze ervaringen en ontwikkelingen vastgelegd in best-practices en/of standaarden. In Nederland worden normalisatie en standaarden en normen gepubliceerd en ook regelmatig tot stand gebracht onder de aansturing van de NEN. 

Een ontwikkeling, goed voor de veiligheid van e-mail, bestandsoverdracht, chatten,….

Op 15 mei 2019 is door de NEN de NTA[1] 7516 uitgebracht. Deze, in Nederland ontwikkelde norm, beschrijft aan welke eisen organisaties die gezondheidsinformatie verwerken moeten voldoen voor hun adhoc communicatie via e-mail, chat, portalen etc.

 [1] NTA – Nederlands Technische Afspraak. Dat betekent dat in beginsel elke partij met een belang of expertise mee kan beslissen over wat er in de NTA zal worden vastgelegd. Ruim 50 vertegenwoordigers van de volgende stakeholders praten en beslissen mee over wat er in de NTA zal worden vastgelegd: (grote) zorginstellingen, Patiënt Federatie, adviesbureaus, leveranciers van veilige mail-applicaties (een breed draagvlak). Net als een boek, een cd-rom of een andere publicatie worden normen – zowel op papier als digitaal – beschermd door het auteursrecht. Normen, richtlijnen en andere producten mogen dan ook niet verspreid of gedeeld worden. 

De NTA7516: https://www.werkenmetnen7510.nl/publicaties/nta-7516-2019/sec_foreword

N.B. De volledige NTA is kosteloos te downloden via de site van de NEN: https://www.nen.nl/NEN-Shop/Norm/NTA-75162019-nl.htm

De betekenis van deze norm in het kader van de AVG

Leveranciers die kunnen voldoen aan de voornoemde norm beschikken hierdoor over “passende maatregelen” voor veilige communicatie en bestandsoverdracht. En …. verminderen de kans op een datalek, dat moet worden gemeld bij de AP, aanzienlijk. 

Hoe staat jouw organisatie er voor? Welke passende maatregelen heeft jouw organisatie genomen. Wat zeg jij hierover tegen de diverse betrokkenen? 

Ook jouw organisaties communiceert met en over gegevens die niet bij derden terecht moeten komen. Enkele voorbeelden: 

• Offertes, ontwerpen, commerciële correspondentie, dossiers.
• Financiële gegevens, bankgegevens.
• Personeelsgegevens, Cv’s,
• Bijzondere persoonsgegevens (juridisch, medisch, levensovertuiging, e.d.)
• Persoonsgegevens van klanten, leveranciers, relaties, prospects, e.d.
• Mailadressen, cookies, e.d. 

Hanteer jij de volgende, veel voorkomende en goedbedoelde, maatregelen?

• De Disclaimer, als onderdeel van de handtekening van de e-mail.  Een dergelijke disclaimer heeft echter geen enkele juridische betekenis en waarde. 

• Een andere, mooie, welwillenden belofte: “Wij hechten veel waarde aan uw privacy. In deze privacyverklaring vertellen wij u daarom graag hoe wij met uw persoonsgegevens omgaan wanneer u onze website bezoekt en gebruik maakt van onze diensten.

AVG artikel 25 ‘privacy door ontwerp en standaardinstellingen

Eén van de gevolgen van de AVG is, dat ALLE nieuwe, of gewijzigde, diensten en producten moeten voldoen aan de VERPLICHTING, genoemd in artikel 25: ‘privacy door ontwerp en standaardinstellingen’. In de praktijk vaak aangeduid met de Engelse benamingen Privacy by Design en Privacy by Default. Dit houdt kort gezegd in dat privacy en gegevensbescherming een eis is bij ontwikkelen van beleid of het realiseren/wijzigen van informatiesystemen, diensten en producten, waarmee persoonsgegevens worden verwerkt.  

Dus ook jouw mailprogramma!

Een “AVG ontwerp” (bron: Handleiding Algemene verordening gegevensbescherming. Min. van Justitie en Veiligheid) houdt rekening met de volgende elementen:

• Stand van de techniek.
• Uitvoeringskosten.
• Aard, omvang, context en het doel van de verwerking.
• De risico’s voor de betrokkene.

Deze bepalen gezamenlijk de te nemen technische en organisatorische maatregelen om:

• De gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren.
• De nodige waarborgen in te bouwen ter naleving van de eisen uit de Verordening.

Mogelijke ontwerpstrategieën:   

De ontwerpcriteria voor de zorgsector ook goed (genoeg) voor jouw organisatie? 

De Nederlandse Technische Afspraak 7516 is in eerste instantie ontwikkeld voor de medische sector. Voor een aantal specifieke aandachtspunten, zie:

Met als doel de risico’s te verminderen, de weerbaarheid te vergroten, te voldoen aan de AVG (verantwoorden, aantoonbaar passende maatregelen) en vooral in control te zijn.

De communicatiedienstenaanbieder

Bij het ontwikkelen van de NTA waren ruim 50 partijen betrokken, die mee praten en beslissen over wat er in de NTA is vastgelegd: (grote) zorginstellingen, Patiënt Federatie, adviesbureaus, leveranciers van veilige mail-applicaties. Daarmee heeft de NTA een breed draagvlak in de Nederlandse zorg.

De stand van zaken bij de diverse leveranciers van veilige mail-applicaties is door mij niet uitputtend onderzocht. Toch wil ik wat handvatten aanreiken: 

1. Welke vragen zou je nu al aan jouw email leverancier kunnen stellen?
2. Wat mij bij aanbieders van veilige email oplossingen opvalt.

Ad. 1 Mogelijke vragen aan de leverancier van jou emailprogramma, op basis van de NTA7516:

• Op welke punten helpen zij bijdragen met het invullen van AVG artikel 25: Gegevensbescherming door ontwerp en door standaardinstellingen?
• Welke punten van de NTA 7516 zijn op dit moment al concreet ingevuld? Wat is er al in de planning opgenomen voor de volgende release/versie?
• Hoe denken zij over de dan alsnog openstaande punten: workaround, suggesties, e.d.?

Ad 2. Diverse aanbieders van veilige email oplossingen geven aan “AVG proof” te zijn, gebaseerd op:

• Encryptie.
• 2-weg authenticatie.

ZIVVER. een Nederlandse organisatie, gaat wat dieper in op hun aanpak. Diverse artikelen geven aan dat zij serieus met de NTA bezig zijn. Zie: https://www.zivver.eu/nl/blog/nta-7516-zivver-zet-in-op-volledig-voldoen-aan-de-norm-voor-veilige-e-mail

Mimecast richt zich op geavanceerde e-mailbeveiliging met Targeted Threat Protection en gebruikt meerdere geavanceerde detection engines en een reeks uiteenlopende threat intelligence-bronnen om e-mail te beschermen tegen malware, spam, phishing en gerichte aanvallen. Daarnaast werkt deze dienst volledig in de cloud.

Gratis e-mailprogramma’s

https://www.consumentenbond.nl/alles-in-1/beste-e-mailprogramma#no3

Informatiebronnen en afbeeldingen

Met dank aan: ZIVVER, Dreamstime, NEN