Veilig gegevens delen per mail

Hieronder enkele tips om veiligheidsrisico’s van e-mail te beperken:

1. Verbeter het bewustzijn van medewerkers, bestuursleden of vrijwilligers over de regels hoe e-mail wel en niet te gebruiken

• beperk zoveel mogelijk het gebruik van gevoelige persoonsgegevens in de tekst van de mail zelf;
• stuur geen bijlagen mee waar gevoelige persoonsgegevens in staan;
• dubbelcheck altijd de geadresseerde voor je op ‘verzenden’ drukt;
• vraag de ontvanger om een bevestiging van ontvangst (dan ontdek je het sneller als het onverhoopt toch mis is gegaan);
• maak duidelijke afspraken over wat te doen bij malware of phishing ;
• als er een collega weggaat of juist tijdelijk komt versterken: regel goed in wie waarbij mag (autorisaties) en hef een mailadres op als de collega niet meer in dienst is.

2. Gebruik alleen (onbeveiligde, niet-versleutelde) e-mail als er geen gevoelige (persoons)gegevens worden verwerkt

3. Kijk naar alternatieven voor het uitwisselen van informatie.

• Uitwisseling onderling (binnen dezelfde organisatie): neem in je mail een link naar het bestand op, in plaats van het bestand zelf mee te sturen.
• Uitwisseling tussen zakelijke partijen (zoals zorgaanbieders of gemeenten): gebruik een veiligere manier dan het meesturen van een onbeveiligde bijlage in een mail, zoals:
  - versleutel het Word-document (eenvoudig via 7-Zip) en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp;
  - informeer bij collega’s of zij al gebruik maken van beveiligde mailverbindingen die voldoet aan de NTA 7516 en sluit waar mogelijk aan;
  - gebruik een online portaal dat met multi-factor authenticatie is ingericht: naam en wachtwoord + een derde kenmerk (net als bij online bankieren met een token, sms-code, etc.
• Uitwisseling tussen zorgverleners en cliënten/patiënten: voor het e-mailverkeer tussen zorgverlener en patiënt/cliënt hanteert de Autoriteit Persoonsgegevens (AP) de norm van versleuteling. Een arts mag met zijn patiënt mailen, mits de e-mail versleuteld wordt verstuurd. Ook de rest van de beveiliging moet goed geregeld zijn. Denk hierbij aan een gebruikersrichtlijn, antivirus- en antispamsoftware en beveiliging van de e-mailopslag.
• En als de patiënt of cliënt zelf gevoelige gegevens aan een zorgverlener wil mailen? Attendeer de patiënt op het kunnen versleutelen van een document met gevoelige gegevens (via 7-Zip) en vraag hem het wachtwoord op het bestand via een ander medium te versturen.

4. Gebruik standaarden

Zorgaanbieders kunnen een aantal e-mailverificatiemethoden/standaarden gebruiken om de authenticiteit (echtheid) van een e-mail te verifiëren en om onder andere phishing te voorkomen. Met deze technische toepassingen kunnen fraudeurs op afstand gehouden worden. Voorbeelden van deze standaarden zijn:

• Een e-mail kan gespoofd worden. Dit houdt in dat iemand e-mails kan versturen met een e-mailadres van jouw organisatie als afzender.  SPF (Sender Policy Framework): SPF is een e-mailverificatieprotocol dat is ontworpen om e-mailspoofing te detecteren en te voorkomen dat onbevoegde afzenders berichten verzenden namens een bepaald domein.
• DKIM (DomainKeys Identified Mail): DKIM is ontwikkeld om na te gaan of er tijdens het verzenden van de e-mail iets veranderd is aan het bericht. Ook wordt gecheckt of de mail afkomstig is van een vertrouwde mailserver.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC biedt een beleidskader voor e-mailverificatie en geeft e-mailontvangers instructies over hoe ze moeten omgaan met e-mails die niet voldoen aan SPF- of DKIM-controles.