In de recente Datalekkenrapportage van de Autoriteit persoonsgegevens komt naar voren dat het aantal datalekken als gevolg van het onjuist versturen van e-mails nog steeds zorgwekkend hoog is. Ongeveer 16 procent van alle datalekken ontstaat doordat persoonsgegevens worden verstuurd naar de verkeerde ontvanger of doordat een e-mail wordt verstuurd met ontvangers in het 'aan'-veld of de cc. Hoewel de impact van een datalek door het onjuist versturen van een e-mail kan variëren, blijft het een incident dat gemeld moet worden.
Onlangs heb ik zelf nog een situatie meegemaakt waarbij een restaurant een e-mail stuurde over een nieuw arrangement, maar alle ontvangers in het “aan”-veld plaatste. Ik kan me overigens niet herinneren dat ik toestemming heb gegeven dat ze me mogen contacten, maar dat terzijde. De impact van dergelijke datalekken kan echter veel verder gaan.
Zo veroorzaakte de gemeente Groningen een incident, waarbij de e-mailadressen van 450 personen die in de bijstand zitten werden gelekt. De medewerker wilde deelnemers aan het traject ‘Ondernemen vanuit de bijstand’ een e-mail sturen, maar plaatste de mailadressen in het cc-veld. Zo was voor iedereen zichtbaar wie de e-mail nog meer had ontvangen. Een ander voorbeeld is dat van bouwbedrijf Heijmans. Bij het versturen van een mail aan 1.100 geïnteresseerden in een nieuwbouwproject werd per ongeluk een Excel-bestand meegestuurd met informatie over het inkomen en eigen vermogen van andere gegadigden voor de woningen. Het moge duidelijk zijn dat de impact van deze laatste twee voorbeelden groter is dan het voorbeeld dat ik persoonlijk heb meegemaakt, maar hoe dan ook blijft een datalek een datalek.
Een moment van onoplettendheid en een fout is zo gemaakt. Hoe zouden jouw klanten of relaties reageren als dit met hun gegevens zou gebeuren? Gelukkig hebben we ook oplossingen voor deze problematiek. Ik geloof niet alleen in het benadrukken van veilig gedrag, maar ook in het creëren van de juiste omstandigheden om dat veilige gedrag te bevorderen. Hieronder lees je enkele tips die ik je wil meegeven en die het verschil kunnen maken in het voorkomen van datalekken via e-mail.
Beperk het aantal ontvangers
Een behoorlijke open deur, maar laten we eens anders naar dit probleem kijken. Waarom zou je überhaupt grote hoeveelheden e-mails willen versturen met standaard mailprogramma’s zoals Outlook? Er zijn veel betere oplossingen beschikbaar waarbij het zelfs onmogelijk is om mensen in het “aan” of “cc” veld te plaatsen. Denk bijvoorbeeld aan het gebruik van een nieuwsbriefplatform (denk wel aan de verwerkersovereenkomst). Hiermee voorkom je dat mensen nog steeds Outlook gebruiken voor bulkmails.
Als je dan toch vanuit Outlook wilt mailen en wilt voorkomen dat er naar grote groepen ontvangers wordt gemaild, kun je binnen de Echange omgeving van Microsoft 365 eenvoudig een instelling wijzigen die bepaalt hoeveel mensen er maximaal per e-mail kunnen worden toegevoegd.
Gebruik veiligere alternatieven voor standaard e-mail
Het probleem van dit soort datalekken beperkt zich niet alleen tot bulkmails. Het kan ook voorkomen dat er een typefout in een e-mailadres wordt gemaakt, waardoor persoonsgegevens bij de verkeerde ontvanger terecht komen. In dergelijke gevallen is het raadzaam om veiligere communicatiemiddelen te gebruiken, zoals Zivver of Zorgmail. Deze alternatieven bieden extra beveiligingslagen om de privacy van de verzonden gegevens te waarborgen. Dit maakt dat niemand anders dan de bevoegde ontvanger toegang heeft tot het bericht. Het is dan overigens wel van belang dat het wachtwoord via een ander kanaal dan e-mail wordt verstuurd, bijvoorbeeld via sms.
Exportfuncties waarmee je grote datasets in één keer kunt downloaden, kunnen handig zijn voor analyses, maar ze vormen ook een groot risico. Beperk daarom de toegang tot dit soort functies zo veel mogelijk en deel dergelijke bestanden niet zomaar via e-mail. De kans op het per ongeluk versturen van de lijst naar de verkeerde persoon is aanwezig en de gevolgen kunnen niet te overzien zijn. Overweeg ook het implementeren van een Data Loss Prevention (DLP)-oplossing om extra beveiliging te bieden.
Creëer en onderhoud user awareness
User awareness is natuurlijk onmisbaar om gebruikers bewust te maken van de risico’s van datalekken bij het versturen van e-mails. Leer hen gevoelige informatie te identificeren en te begrijpen welke gegevens wel en niet via e-mail gedeeld mogen worden. Laat hen de persoonlijke en zakelijke gevolgen van datalekken inzien en maak hen vertrouwd met het beleid dat binnen de organisatie geldt. Geef ze daarbij de handvatten en tools die ze nodig hebben om deze kennis in de praktijk te brengen.
Een andere goede aanpak in het creëren van bewustzijn is het behandelen van casestudy’s van eerdere datalekken met ernstige gevolgen door onjuist e-mailgebruik. Deze praktijksituaties creëren een dieper begrip van de impact van datalekken en de noodzaak om veiligheidsbewuste keuzes te maken.
(Auteur Dennie Spreeuwenberg is ceo bij Awaretrain Security)