Delen van persoonsgegevens via e-mail of telefoon onder de GDPR-wetgeving

Wereldwijd worden er meer dan 150 miljoen e-mails verzonden per minuut, zowel privé als in bedrijfscontext. In de overheidssector maar vooral ook in de bedrijfswereld bevatten veel van deze e-mails vertrouwelijke informatie, denk maar aan HR-gegevens, doktersbriefjes, voedingsvoorkeuren, psychologische informatie etc. Dankzij de GDPR zijn er strengere regels gekomen voor het beveiligen van deze persoonsgegevens en vertrouwelijke informatie. 

E-mailverkeer wordt vandaag aan heel wat gevaren blootgesteld. Vaak wordt er te veel informatie vrijgegeven aan de verkeerde personen, wordt de inhoud niet beschermd of loopt de communicatie over onbeveiligde verbindingen. 

Wanneer we e-mails blijven versturen zonder extra maatregelen te nemen wordt het voor een cybercrimineel of fraudeur heel gemakkelijk om deze te onderscheppen of te misbruiken.

In vele bedrijven leeft nog niet het bewustzijn van deze potentiële bedreiging en is het voor medewerkers en zelfs management soms moeilijk te vatten ‘wie er nu baat bij zou hebben om het e-mailverkeer te hacken’. Nochtans is elke medewerker een potentiële poort naar interne bedrijfsgegevens.

Valkuilen

Kan e-mailen dan helemaal niet meer en moet alles terug via de post verlopen? Zeker niet! Naast veilige doorgifte is snelle (en digitale) beschikbaarheid van gegevens minstens even belangrijk. Helaas kan dit laatste niet meer geëvenaard worden door het klassieke postverkeer en zullen we verder op de digitale weg blijven gaan.

Welke communicatiekanalen de organisatie ook gebruikt, haast en spoed is zelden goed, en voorzichtigheid is dus geboden. Valkuilen die vaak in e-mailverkeer voorkomen zijn:

  • Uit gemak of om snel te zijn wordt bij het adresseren vaak vergeten om het e-mailadres te controleren. Je typt de eerste letters en autofill doet de rest. Bv. Je wilt mailen naar Jan Janssen en typt ‘Jan’. Automatisch staan hier nu alle adressen met Jan voorgeselecteerd. Druk je te snel op enter, dan werd de eerste Jan (bv. Jan Aelvoet) in het lijstje geselecteerd, terwijl de mail bestemd was voor Jan Janssen. Vaak wordt niet of pas veel later ontdekt dat de informatie naar de verkeerde persoon is gestuurd.
  • Het toevoegen van verkeerde bijlagen.
  • Het (her)gebruik van (onveilige) wachtwoorden.
  • Het ontbreken van awareness bij personeel. Dit verhoogt ook het risico van ongeautoriseerde toegang tot een mailbox. 

Tips voor veiliger delen

Het grootste gedeelte van de gekende inbreuken m.b.t. persoonsgegevens in bedrijven is te wijten aan bovenstaande aspecten. Onderstaande tips helpen om met uw bedrijf verder te streven naar GDPR-conformiteit:

  • Stimuleer bewustwording bij medewerkers en maak afspraken over hoe e-mail wel en niet kan worden gebruikt (bv. hoe herken phishing en malware, geen inhoud of bijlages met persoonsgegevens tenzij beveiligd, gebruik van veilige wachtwoorden etc.)
  • Kijk naar alternatieven voor het uitwisselen van informatie zodat mailen minder ‘nodig’ wordt: 
  • Stuur een link naar het bestand i.p.v. een bijlage. Op deze manier ben je zeker dat de andere persoon zich ook heeft moeten identificeren alvorens aan de gegevens te kunnen.
  • Gebruik software om mails te versleutelen. Deze software kan meestal in uw officepakket worden geïntegreerd. Enkel de ontvanger krijgt toegang tot de gegevens, personen die het wachtwoord niet kennen of die niet op een andere geautoriseerde manier toegang hebben verkregen (decryptie-tool) zullen de gegevens niet kunnen inlezen.
  • Implementeer Digital Rights Management of DRM-functionaliteiten. Dit betekent dat een werknemer de mogelijkheden van wat de ontvanger met een bestand kan doen kan instellen of beperken. Hierbij is het mogelijk om het bewerken, printen en doorsturen te beperken. De toegang en verwerkingen op het bestand zijn traceerbaar en kunnen na een bepaalde periode volledig onmogelijk worden gemaakt. Dit kan meestal ook geïntegreerd worden in uw officepakket.
  • Gebruik veilige chat-alternatieven zodat collega’s gemakkelijk en veilig met elkaar kunnen communiceren (Slack, Alterdesk, Cisco Webex, etc)
  • Gebruik gemeenschappelijke documentatieplatformen zoals Tresorit, Sharepoint, IProva etc.)
  • Gebruik online portals. Dit zien we al bij energie- en telecombedrijven, ziekenfondsen, waterleveranciers etc.. Men moet inloggen met een account; op het platform worden vervolgens bv. rekeningen en bepaalde voorkeuren gedeeld.

Social Media

Sommige bedrijven kiezen er dan weer voor om via WhatsApp te gaan communiceren omdat het veiliger zou zijn. WhatsApp is wel veiliger dan traditionele e-mail, zolang je geen automatische back-up opslaat in Google Drive of iCloud. Deze functie is gemakkelijk uit te schakelen via de instellingen van je WhatsApp account op het toestel.

WhatsApp is veiliger in die zin dat het de inhoud van de berichtgeving versleutelt met end-to-end-encryptie. Deze techniek vergrendelt de gegevens op het apparaat van de verzender en decodeert ze pas op het toestel van de ontvanger. Hierdoor zijn de gegevens al onleesbaar voordat die het internet opgaan (en dus niet bruikbaar als iemand deze informatie zou onderscheppen). Dit zorgt ervoor dat hackers de inhoud niet kunnen openen. Het systeem is echter niet feilloos. Immers, de metadata van WhatsApp-berichten (dit zijn onzichtbare ‘labels’ die aan het bericht hangen met het tijdstip, ontvanger of toestel) worden niet versleuteld. Bovendien brengt het gebruik van WhatsApp (en andere tools) shadow-IT met zich mee. Hiermee bedoelen we het gebruik van soft- en hardware die buiten de IT-afdeling valt en in de organisatie niet officieel is goedgekeurd. Andere voorbeelden zijn het gebruik van WeTransfer, Google Drive, OneDrive etc zonder expliciete toestemming van het bedrijf. 

In die zin raden we af om WhatsApp te gebruiken voor communicatie tussen collega’s in de bedrijfscontext en zeker wanneer het gaat over (gevoelige) persoonsgegevens.

Via de telefoon

Doen we alles dan beter via de telefoon? Dat hangt ervan af. In een eerstelijns- of doorverwijsfunctie is het best mogelijk dat een aantal basisgegevens worden geregistreerd wanneer een (hulp)vraag of verzoek binnenkomt. Voor het opstarten van een dossier daarentegen is het noodzakelijk dat de juiste gegevens digitaal en/of op papier worden verwerkt. 

Ga bij een telefonisch contact steeds na of je met de juiste persoon te maken hebt. Dit kan door het stellen van gerichte vragen zoals de naam, de geboortedatum, het dossier -of klantennummer etc. Vermijd om aan de telefoon inhoudelijke informatie te geven in verband met gevoelige persoonsgegevens. Dit geldt evengoed voor doorgifte van gegevens aan de politie, mutualiteiten, belangenorganisaties, etc.

Back to basics

Een veilige communicatie creëer je door de basisprincipes vertrouwelijkheid, integriteit en beschikbaarheid te integreren in de werking van je organisatie.

Bij het delen van gegevens met andere organisaties moet dit met de nodige zorgvuldigheid gebeuren en blijven dezelfde principes gelden. Bedrijven hebben -dankzij de GDPR- een verplichting om gepaste technische en organisatorische maatregelen te nemen zodat de risico’s op datalekken geminimaliseerd worden. 

Meer info: 03 304 82 26- contact@whitewire.be– whitewire.be

Share