E-mail is vergeten aspect bij AVG

Lisette Sens_0175_P

De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd.

De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten.

De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"
  • data-ad-slot="6770830282">

    Onderschat

    De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.”

    Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”

    Binnen een maand

    Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.”

    Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.”

    Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.

    Zware dobber

    Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.”

    “Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.”

    Lees ook
    DORA: wat ITOps-teams moeten weten

    DORA: wat ITOps-teams moeten weten

    DORA vestigt een best practice die ThousandEyes bespreekt in The Internet Report: het belang van het nemen van verantwoordelijkheid voor je gehele dienstverleningsketen, inclusief de delen die je niet direct onder controle hebt. Onder DORA zijn financiële instellingen verplicht om zowel hun eigen ICT-infrastructuur als die van hun externe partner1

    Black Friday: een gewaarschuwd mens telt voor twee

    Black Friday: een gewaarschuwd mens telt voor twee

    De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

    Voldemort threat update: het onderzoek dat niet genoemd mag worden

    Voldemort threat update: het onderzoek dat niet genoemd mag worden

    Naar aanleiding van het Voldemort malware threat research van 30 augustus delen analisten van Proofpoint nu nieuwe inzichten. De onderzoekers kunnen inmiddels de Voldemortcampagne toeschrijven aan een dreigingsgroep, namelijk de Chinese dreigingsgroep TA415. Deze groep is ook bekend als APT41 en Brass Typhoon.