Veel privacylekken door slordige e-mails

Bedrijven, diensten en overheden versturen privacygevoelige informatie over burgers veel te makkelijk via e-mail. Door een eenvoudige typefout kunnen die makkelijk in verkeerde handen komen. Dat blijkt uit een rapport van onderzoeksbureau Cyberonderzoeksraad. 

Typefout

De Autoriteit Persoonsgegevens (AP) schat dat meer dan 60 procent van de datalekken veroorzaakt worden door een eenvoudige typefout. De Cyberonderzoeksraad heeft dat onderzocht door zo'n 70 domeinen te registeren die lijken op de domeinnaam van (overheids-) diensten of bedrijven. Vervolgens hebben ze gekeken hoeveel en welke e-mail er bij die 'typefoutdomeinen' binnenkwam. 

Dyslectisch

Volgens initiatiefnemer Brenno de Winter schrokken de onderzoekers hoeveel mails er binnenkwamen, en hoe vaak het gebeurde dat er daadwerkelijk privacygevoelige informatie werd meegestuurd. 'Mensen zijn massaal dyslectisch, lijkt het wel,' zegt hij tegen BNR nieuwsradio. De onderzoekers kregen bijvoorbeeld patientendossiers, aanvragen voor financiele gegevens door opsporingsambtenaren, rekeningen, kopieën van bankafschriften en identiteitspapieren en departementaal vertrouwelijke stukken binnen. De verkeerde mailadressen stonden soms ook in verzendlijsten van groepen ambtenaren. 'En toen we vroegen of we daar niet beter tussenuit konden, bleven we er gewoon in staan en alle mail ontvangen.'

Onversleuteld

Wat de onderzoekers vooral verbaasde was het gemak waarmee gevoelige informatie onversleuteld over de mail werd gestuurd. Dat is vaak in strijd met de AVG, maar volgens de Cyberonderzoeksraad wordt er niet nagedacht over de mogelijke gevolgen van het gebruik van e-mail en of het wel geschikt is voor het versturen van gevoelige gegevens. Het rapport stelt dat het regelgevend kader tekort lijkt te schieten. 'Het gebruik van versleuteling bij het digitaal transporteren van departementaal vertrouwelijke stukken is niet verplicht. Het beeld dat breed uit het onderzoek komt, is dat bewustzijn rond de gevaren van e-mail laag is.'

Vier-ogen

De Cyberonderzoeksraad biedt wel een aantal manieren om die veiligheid te verbeteren. Zo kunnen organisaties beleid maken om het uitwisselen of aanvragen van gevoelige (persoons-)informatie niet meer via e-mail te accepteren. Daarnaast kunnen ze gebruik maken van het vier-ogenprincipe: laat altijd een collega meekijken bij een gevoelige e-mail.

Regels

Tenslotte moeten overheden betere regels maken over hoe ze omgaan met vertrouwelijke stukken. 'Anno 2019 valt niet uit te leggen dat gerubriceerde documenten niet in alle gevallen van transport (wanneer foutmodi typisch optreden) van goede versleuteling voorzien moeten zijn. Ook is inmiddels een breed aanvaard gegeven dat gevoelige data altijd moeten zijn versleuteld.'