E-mail is vergeten aspect bij AVG

  1. 22 nov 2017
  2. 0 reacties
Lisette Sens_0175_P

De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd.

De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten.

De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    Onderschat

    De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.”

    Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”

    Binnen een maand

    Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.”

    Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.”

    Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.

    Zware dobber

    Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.”

    “Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.”

    Meer over
    Lees ook
    Gastblog: Privacy nu belangrijker dan ooit

    Gastblog: Privacy nu belangrijker dan ooit

    Privacy is hot. De openbaring van Edward Snowden dat de Amerikaanse NSA over alles vanaf weet, heeft een vloedgolf van media aandacht veroorzaakt waar de privacy voorvechters niet zo lang geleden alleen maar van konden dromen. Waar de gemiddelde Nederlander zich eerst geen zorgen maakte onder het motto ‘ik heb toch niets te verbergen’, resulteert1

    Nederlandse Zorgautoriteit fors de fout in bij beveiliging gevoelige gegevens van burgers

    Nederlandse Zorgautoriteit fors de fout in bij beveiliging gevoelige gegevens van burgers

    De Nederlandse Zorgautoriteit is ernstig de fout in gegaan met de beveiliging van gevoelige gegevens van Nederlandse burgers. Onder andere medische gegevens van burgers zouden op een onveilige manier zijn opgeslagen. Dit blijkt uit een 600 pagina's tellend bezwaarschrift dat is geschreven door Arthur Gotlieb, een senior beleidsmedewerker van de NZ1

    Nederlanders: 'Cybersecurity is belangrijk, maar mag privacy niet aantasten'

    Nederlanders: 'Cybersecurity is belangrijk, maar mag privacy niet aantasten'

    Nederlanders vinden cyberbeveiliging belangrijk, maar willen niet dat dit ten koste gaan van hun privacy. Bijna 90% van alle Nederlanders geeft aan dat de overheid actiever zou moeten optreden tegen cybercrime. Tweederde van de Nederlandse burgers is echter van mening dat de overheid hiervoor niet in computers mag kijken zonder dat zij hiervan zel1