E-mail is vergeten aspect bij AVG

  1. 22 nov 2017
  2. 0 reacties
Lisette Sens_0175_P

De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd.

De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten.

De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    Onderschat

    De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.”

    Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”

    Binnen een maand

    Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.”

    Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.”

    Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.

    Zware dobber

    Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.”

    “Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.”

    Meer over
    Lees ook
    Gratis handleiding helpt gebruikers anoniem te surfen via het Tor-netwerk

    Gratis handleiding helpt gebruikers anoniem te surfen via het Tor-netwerk

    Het Tor-netwerk is een anonimiseringsnetwerk waarmee gebruikers anoniem op internet kunnen surfen. Het gebruik van het Tor-netwerk is echter geen garantie dat de identiteit van de gebruikers daadwerkelijk geheim blijft. De gebruiker moet zijn manier van surfen ook aanpassen en goed opletten waar gegevens worden achtergelaten of wordt ingelogd. An1

    Nederland ICT: 'Overheid moet meer openheid geven over informatieverzoeken bij bedrijven'

    Nederland ICT: 'Overheid moet meer openheid geven over informatieverzoeken bij bedrijven'

    Nederland ICT roept de overheid op meer openheid te geven over de informatieverzoeken die in het kader van strafrechtelijk onderzoek bij ICT-bedrijven worden ingediend. Bedrijven mogen van de overheid geen uitspraken doen over deze verzoeken om het strafrechtelijk onderzoek niet in de weg te zitten. Vanuit de maatschappij is echter juist vraag naa1

    'Helft van de burgers besteedt geen enkele aandacht aan hun online veiligheid'

    'Helft van de burgers besteedt geen enkele aandacht aan hun online veiligheid'

    Veel burgers zijn boos over de spionagepraktijken van overheden. Het is dan ook opvallend dat meer dan de helft van de burgers geen enkele maatregelen neemt om zijn online veiligheid te beschermen. Dit blijkt uit een onderzoek van de Britse overheid. Het onderzoek is onderdeel van Cyber Streetwise, een campagne die door de Britse overheid is opge1