E-mail is vergeten aspect bij AVG
De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd.
De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten.
De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”
data-ad-slot="6770830282">
Onderschat
De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.”
Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”
Binnen een maand
Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.”
Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.”
Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.
Zware dobber
Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.”
“Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.”
Meer over
Lees ook
Interview met Antonio Russu van Resillion
Resillion is een bedrijf met dertig jaar ervaring en het heeft vier werkterreinen. De werkzaamheden omvatten Cybersecurity, Digital Forensics, Penetration Testing en Corporate Resilience. InfosecurityMagazine sprak recent met head of cybersecurity Antonio Russu.
Samenwerking RiskStudio en Samen Digitaal Veilig maakt ketenrisico’s zichtbaar
RiskStudio is toegetreden als partner van Samen Digitaal Veilig, een publiek initiatief van MKB-Nederland en VNO-NCW. Met ruim 100 aangesloten branches en een bereik van meer dan 185.000 bedrijven speelt het programma een centrale rol in de digitale weerbaarheid van het Nederlandse bedrijfsleven.
WatchGuard: over-engineered security ondermijnt beveiliging bij MSP’s
“WatchGuard’s Unified Security Platform stelt MSP’s in staat om beveiligingsdiensten modulair op te bouwen, afgestemd op de specifieke behoefte van elke klant. Dankzij de multi-tier, multi-tenant architectuur kunnen templates eenvoudig worden hergebruikt en is de beheerlast aanzienlijk lager.”