E-mail is vergeten aspect bij AVG

Lisette Sens_0175_P

De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd.

De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten.

De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"
  • data-ad-slot="6770830282">

    Onderschat

    De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.”

    Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”

    Binnen een maand

    Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.”

    Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.”

    Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.

    Zware dobber

    Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.”

    “Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.”

    Lees ook
    "Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

    "Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

    In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.

    Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

    Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

    Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.

    Onderzoek WatchGuard: sterke stijging evasive malware

    Onderzoek WatchGuard: sterke stijging evasive malware

    Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.