Afspraken en teksten in e-mails kunnen in de rechtszaal als bindend worden verklaard. Het is daarom belangrijk dat het bedrijf voldoet aan wet- en regelgeving rondom e-mailcompliance. Maar daar is geen eenduidige oplossing voor.
E-mail is in bedrijven al jaren de belangrijkste correspondentievorm, zowel voor intern verkeer als voor contacten met andere bedrijven. E-mail zal voor bedrijven nog in belang toenemen door de evolutie naar unified communications, waarbij traditioneel gescheiden communicatiemiddelen, zoals telefoons, e-mails, instant messaging en videotelefonie, in één interface worden ondergebracht. Het op elkaar afstemmen van al die communicatie- en correspondentiemiddelen zal bedrijven heel wat geld besparen, vooral door een verhoogde efficiëntie van de medewerkers.
Verantwoordelijkheid
E-mails die verstuurd worden door medewerkers kunnen een bedrijf echter wel juridisch binden. De groeiende populariteit van unified communications vergroot de potentiële verantwoordelijkheid van een bedrijf alleen maar. Een telefoontje is bijvoorbeeld informeler dan een e-mailberichtje, omdat er normaal geen fysieke sporen van achterblijven.
Als telefoongesprekken echter geïntegreerd worden met e-mail gaat hun informele karakter grotendeels verloren en groeit de juridische aansprakelijkheid. Bovendien kunnen er ook voor binnenkomende mails zware verantwoordelijkheden bestaan. In Amerika kan een werkgever zijn werknemer bijvoorbeeld vervolgen als hij in zijn of haar mailbox op het werk pornografische mails aantreft. In Nederland ligt dat door de strengere privacywetgeving moeilijker, maar het kan wel gevolgen hebben voor hier gevestigde filialen van Amerikaanse bedrijven. Er kunnen er ook regels gelden voor het beschermen en/of archiveren van e-mails met confidentiële financiële informatie.
Policies
Het is duidelijk dat voor uitgaande, binnenkomende en gearchiveerde e-mails bepaalde regels moeten gelden en dat bedrijven die moeten kunnen opleggen en afdwingen. Bedrijven kunnen eigen bedrijfsreglementen met betrekking tot e-mail hebben, maar er kunnen ook externe regels zijn waaraan een bedrijf moet voldoen. Banken hebben bijvoorbeeld regels waarbij alle uitgaande e-mails van bepaalde afdelingen en personen altijd versleuteld moeten worden. Bij sommige overheidsopdrachten moet alle correspondentie, waaronder ook e-mail, voldoen aan specifieke internationale, Europese of Nederlandse wet- of regelgevingen.
Nog een mogelijkheid is dat e-mails digitaal moeten worden ondertekend, of voorzien worden van bepaalde certificaten. Verder is het mogelijk dat alle e-mailcorrespondentie die in het kader van een bepaald project wordt uitgewisseld automatisch moet worden gearchiveerd, zodat controleorganismen achteraf eenvoudig kunnen nagaan of aan alle projectregels is voldaan. Gelukkig valt e-mail gemakkelijker te controleren dan een klassieke brief of fax. Bedrijfsregels en wettelijke regels kunnen worden vertaald in reglementen of ‘policies'. Speciale software of hardware kan die automatisch controleren, afdwingen en uitvoeren. Dergelijke e-mailcompliance kan een onderdeel zijn van een in het bedrijfsnetwerk geïnstalleerde e-mailbeveiligingsoplossing die bijvoorbeeld ook spam of malware tegenhoudt, of het kan een aparte, gespecialiseerde oplossing zijn voor het versleutelen, archiveren en toevoegen van disclaimers aan uitgaande e-mail.
Oplossingen
Een universele oplossing bestaat vooralsnog niet. Traditionele e-mailbeveiligingsappliances hebben vandaag vaak ook een onderdeel dat kan worden gebruikt om regels op te leggen aan uitgaande e-mail. Maar dit beperkt zich vaak tot het toevoegen van een disclaimer of een elektronische handtekening. Ook het filteren van e-mails op inhoud is vaak aanwezig. Op die manier zou een bedrijf bijvoorbeeld kunnen proberen een regel af te dwingen die zegt dat gevoelige financiële informatie niet via e-mail mag worden verstuurd. Honderd procent waterdicht werkt zo'n systeem echter nooit. Verder is soms ook voorzien in de automatische archivering van uitgaande e-mail. Vaak hebben dergelijke appliances zowat alles behalve digitale ondertekening van e-mails aan boord. Voor dit laatste en voor de geautomatiseerde versleuteling van bepaalde mails kan een gespecialiseerde appliance nodig zijn.
Behalve appliances bestaat er ook heel wat software voor e-mailcompliance. Sommige e-mailbeveiligingssoftware heeft compliancemogelijkheden aan boord, maar vaak moet deze functionaliteit apart worden aangeschaft. Het spreekt vanzelf dat de meeste compliancesoftware bedoeld is voor Microsoft Exchange/Outlook-omgevingen, maar omdat dat meestal bijgeïnstalleerd moet worden op een Exchange-server kan het toch interessant zijn om naar een appliance te kijken, om de mailserver te ontlasten. Als voor de mailserver- en mailclientomgeving in het bedrijf geen specifieke compliancesoftware zou bestaan, dan is een appliance de makkelijkste beveiligings- en nalevingsoplossing.
Acties
Elke e-mailbeveiliging of -nalevingscontrole begint voor een bedrijf met in eigen boezem te kijken.
Elke e-mailbeveiliging of -nalevingscontrole begint voor een bedrijf met in eigen boezem te kijken. Voorzie dus altijd een goede uitgaande e-mailbeveiliging, zodat er zeker geen spam of virussen naar buiten wordt gestuurd. Er kunnen automatisch aan uitgaande mails zogenaamde ‘disclaimers' worden toegevoegd om bepaalde verantwoordelijkheden af te wijzen. Die moeten worden geformuleerd door een ervaren jurist. Om te vermijden dat gevoelige informatie het bedrijf verlaat, zijn er inhoudsfilters. Die zijn standaard voorzien in de meeste e-mailbeveiligingsoplossingen, maar vaak zijn ze onderworpen aan een aparte licentie en moet er dus voor betaald worden. In verband met die inhoudsfilters is het verstandig in gedachten te houden dat die staan of vallen met de kwaliteit van hun bibliotheken met relevante termen en zoekresultaten. Vaak moet het bedrijf die zelf nog aanvullen of verbeteren.
Als een werkgever versleutelde e-mails wil uitwisselen, verdient het encryptieprotocol AES-128 of nog beter AES-256 de voorkeur omdat dat ook echt veilig is. Dit wordt ook gebruikt voor het samenstellen van digitale handtekeningen. Zowel het volledig versleutelen van de berichttekst als het toevoegen van een digitale handtekening zorgt ervoor dat e-mails achteraf niet achteraf kunnen worden gewijzigd. Bij een juridisch dispuut kan het van groot belang zijn dat dat bewezen kan worden. Als je e-mails voor bepaalde tijd moet of wil bijhouden, dan kun je dat doen via een automatische e-mailarchivering. Laat dit zeker niet over aan individuele medewerkers, want dan is het bedrijf nooit zeker dat het ook regelmatig gebeurt. Voor e-mailarchivering bestaan aparte appliances en software, maar soms is het ook een onderdeel van een e-mail security of compliance-oplossing. Het spreekt vanzelf dat e-mailarchivering alleen maar mag gebeuren op een opslagsysteem dat met encryptie werkt of waarvan de toegang strikt beperkt is.
Seminar over e-mailmanagement
Wet- en regelgeving, zoals de Amerikaanse wet Sarbanes-Oxley, maken informatiebeheer steeds belangrijker. E-mail is de meest gebruikte vorm van communicatie. Welke e-mailgegevens moeten worden bewaard? Hoe zit het met onzichtbare besluitvorming? En hoe zorg je ervoor dat deze data vindbaar is, maar niet dubbel wordt opgeslagen? Met praktijkcases van verschillende sprekers worden deze en andere vragen op het vlak van e-mailmanagement tijdens het Computable seminar beantwoord.
Hier wat overwegingen in dit soort trajecten:
De bewijs en bewaarplicht regels gelden ook voor uitingen gedaan op websites, (financiele) bijsluiters bij producten, etc. Dus alle uitingen waarbij recht van klanten, voorkennis in handel, transacties, etc geraakt worden dienen bewaard te worden.
Het is een uitdaging om deze digitale bewijsstukken zodanig op te slaan dat het het dossier kompleet teruggehaald kan worden en daarnaast als bewijs geaccepteerd wordt.
–> Er zijn behoorlijke boetes in de US opgelegd aan bedrijven die niet een eenduidig dosier konden opleveren bij een rechtsgang.
Hoe lang sla je de data op. –> Complicerend daarbij is de tegenstrijdige belangen van de wet en regelgeving hierbij. De toezichthouders SOX, WTx, MiFid, etc, opsporingsinstanties, archiefwetgeving, Wet ondernemingsraden en bescherming persoongegevens WBP/EU.
Welke gegevens ga je dan / moet je dan bewaren, alle uitingen (websites, dosierscommunicatie, inlichtinggesprekken, in en externe emails). Het opslaan, zoeken, vinden en filteren gaat een gigantische berg aan info opleveren.
Wie mogen bij de gegevens, wie wordt verantwoordelijk voor de opslag en hoe dus op te slaan zonder dat dosiers heimelijk veranderd worden.
Welke technieken zijn in staat op data 5, 7, 15, 30 jaar te bewaren en mee te groeien.
Hoe om te gaan met beveiligde communicatie. Bij een vorm van secure email zijn de eindgebruikers de keyhouders. Key’s kunnen verlopen, kunnen openbaar worden of verloren raken. Hoe zorg je dus voor archivering van deze mails zonder de verantwoordelijkheid bij de eindgebruiker neer te leggen. (De eindgebruiker verantwoordelijk maken met deze eer is eigenlijk een te groot bedrijfsrisico)
De behandeling van email en uitgewisselde documenten is in principe niet anders dat reguliere correspondentie. Als het gaat om beveiligde communicatie zoals in de vorige reactie geldt voor de verantwoordelijkheid in wezen hetzelfde als bij de reguliere post. Daarbij gelden ook dezelfde classificatie niveau’s zoals bijvoorbeeld ongeclassificeerd, dienstgeheim / intern gebruik, vertrouwelijk / confidentieel / persoonlijk, geheim / bedrijfsvertrouwelijk en zeer geheim / bedrijfsvertrouwelijk, speciaal toezicht. Informatie dient niet alleen geclassificeerd te worden, maar tevens dient te worden aangegeven voor wie de informatie bestemd is. Dit komt voort uit het m.b.t. geclassificeerde informatie algemeen geldende “need-to-know” principe; indien informatie geclassificeerd is, dient het uitsluitend ter kennis te komen van diegenen, voor wie de informatie bestemd is en het informatie uitwisselingssysteem dient dit te ondersteunen. Een operationeel systeem wat deze principes en classificatie niveau’s ondersteund voor email, document en files is te vinden door op de link http://www.swissitpro.ch te zoeken naar het keyword “quantum”
Zoals altijd ligt de oplossing bij de bron van het probleem maar ligt deze zo voor de hand dat iedereen bezig is met de gevolgen te bestrijden.
Het probleem ontstaat op het moment dat iemand de intentie heeft om te communiceren en daarvoor de volledige vrijheid heeft gekregen door IT. Een PC, een tekstverwerker, een email programma, een lokale printer meer ingredienten heb je niet nodig om er een onbeheersbaar zooitje van te maken.
Interne en externe communicatie in de context van het bedrijf moet gereguleerd zijn wat niet inhoudt dat men afhankelijk moet worden van slagvaardigheid van IT.
Inkomende communicatie leidt tot uitgaande communicatie (bijv. aanvraag of klacht leidt tot verzoek om aanvullende informatie, een aanbieding of afwijzing/toekenning), uitgaande communicatie leidt tot inkomende communicatie (bijv. marketingboodschap leidt to bestelling wat weer leidt tot uitgaande communicatie). Kortom ieder bedrijfsproces bestaat uit inkomende en uitgaande communicatie en er is geen communicatie zonder bedrijfsproces, kortom de lus moet gesloten worden.
Dit leidt tot de volgende conclusie. De intentie om uitgaande communicatie te creeren is gebonden aan een bedrijfsproces en de rol van de persoon in relatie tot dit proces bepaalt welke uitgaande communicatie (templates) tot de beschikking staan. Niet alleen het formaat, de inhoud, de vrijheid die de medewerker krijgt in het wijzigen van de tekst maar ook het proces (approval workflow), het kanaal (op welke printer mag geprint worden, email, het digitaal tekenen, etc.) en ook het vaststellen of het een RECORD betreft en daarmee de metagegevens, indexvelden en retentie policy (archiverings termijn) behoren hiertoe.
Het is niet IT die dit dient te beheren maar het zijn de verschillende afdelingen die het voor het zeggen hebben. De juridische afdeling beheert zijn eigen teksten en processen evenzo als marketing en de verschillende product afdelingen.
Niet realistisch, niet voor ISIS Papyrus, dit is wat we wereldwijd doen voor grote verzekeraars en banken. Wij lossen het probleem op bij de basis en introduceren geen lapmiddelen (eiland oplossingen) om de gevolgen te bestrijden.
Quote uit het artikel: “Als een werkgever geencrypteerde e-mails wil uitwisselen, verdient het encryptieprotocol AES-128 of nog beter AES-256 de voorkeur omdat dat ook echt veilig is.”
Deze bewering is onjuist. Een voorbeeld dat dit bewijst is bijvoorbeeld te vinden op de link http://www.turbocrypt.com/vpics/9a8f098c615a425eab6d17c804dd67ae/whitepapers/backup_attack.pdf
Deze attack is een speciaal geval van een attack methode welke gebruik maakt van de redundantie in de source informatie welke encrypt wordt. Doordat de redundantie van de source informatie met een vast patroon herhaald terugkomt in de versteutelde data is de versleutelde data te kraken, gegeven het encryptie algoritme, zonder dat daarbij de encryptie sleutel noodzakelijk is. De hoeveelheid versleutelde data welke je hiervoor nodig hebt kan uitgerekend worden met de zogenaamde Unicity Distance. Deze algemene methode om cipher text only attacks uit te voeren op versleutelde data werkt op alle computational secure versleutelings methoden, dus vrijwel alle hedendaags gebruikte security methoden, inclusief het hierboven aangehaalde AES en de gebruikte pseudo random generatoren. Wil je dit type attacks onmogelijk maken, dan moet je gebruik gaan maken van zogenaamde unconditional securiy. Het systeem wat ik aangehaald heb in m’n eerste reactie ondersteund 2 unconditional secure niveau’s: Provable en Perfect. Het niveau van beveiliging wat gekozen wordt in dit aangehaalde systeem hangt samen met de classificatie niveau’s welke ik in de 1e reactie heb gegeven. Daarbij kan gekozen worden tussen Computational, Provable en Perfect. Een presentatie waarin dit uitgelegd wordt is de vinden op de link http://picasaweb.google.com/freemovequantumexchange/FreeMoveQuantumExchange
HEREN Visser/Heinen/Van Rijswijk, mag ik u danken voor de uitgebreide uiteenzetting? Zeer interessant leesvoer!
Het artikel van de heer Zwiekhorst is naar mijn mening door het ontbreken van de juiste juridische termen en begrippen van een twijfelachtige kwaliteit.
Daarnaast ben ik uitermate benieuwd naar de wettelijke regeling ‘e-mailcompliance’.
Of een e-mail van een medewerker een bedrijf kan binden is (net zo als in het geval van traditionele communicatiemiddelen) juridisch een vraag van bevoegde vertegenwoordiging en een eventuele schijn van bevoegdheid. Dat is niet anders bij e-mail.
Hoezo kan een werkgever uit privacy overwegingen niet ingrijpen als bedrijfsmiddelen misbruikt worden?
Graag zou ik de bronnen willen zien van “specifieke internationale, Europese of Nederlandse wet- of regelgevingen”, hier heb je niets aan.
Al met al een vage, jursiche rommelige bijdrage van een bedenkelike kwaliteit. Beter onderzoek doen!
@Arthur van der Molen
Ik ben het hiermee mee eens. In principe vallen alle communicatie middelen onder dezelfde jurische regelgeving (zie ook m’n eerdere reacties op dit artikel). Echter verschillende communicatiemiddelen hebben ook verschillende mogelijkheden voor security, privacy, identification, non-repudiation, authentication etc. Als deze aspecten niet goed geregeld zijn dan vervalt daarmee ook de bewijskracht. De presentatie van een research systeem dat al deze aspecten voor email, documenten en generieke files op drie verschillende niveau’s ondersteund (computational, unconditional provable en unconditional perfect) is te vinden op de link http://www.swissitpro.ch door te zoeken naar “quantum”.