Een lezer vroeg me:
Is het toegestaan om persoonsgegevens zoals namen en adressen, maar ook bv. een kopie van je paspoort met BSN en foto, per mail te versturen? Dat is toch veel te onveilig!
De wet bescherming persoonsgegevens bepaalt dat wie persoonsgegevens verwerkt, een adequate beveiliging moet toepassen. En verwerken omvat zo ongeveer alles: inscannen, overtypen, versturen, opslaan, delen of zelfs verwijderen daarvan.
Wat is adequaat? De wet geeft daar geen antwoord op, en er is geen uitvoerende regeling die specifiek securitynormen voorschrijft of een toets waarmee je kunt bepalen of je gegarandeerd compliant bent met de wet.
De reden hiervoor is dat dat ‘adequaat’ geen absolute term is maar gemeten moet worden in de omstandigheden. Met een patiëntendossier van een ziekenhuis moet je zorgvuldiger omgaan dan een e-mailadres op een visitekaartje, zeg maar. Dus zou het raar zijn als de beveiligingseisen voor die twee sets persoonsgegevens hetzelfde zou zijn.
De vraag is dus hier in ieder geval eerst, hoe wordt er gemaild, naar wie en waarom. Dan zoek je de (redelijke) beveiligingsrisico’s en ga je na of die kunnen worden opgelost. En pas als je merkt dat dát niet kan, dan kom je bij de conclusie “misschien dan maar géén e-mail” of “laten we maar encryptie op de mail gaan zetten”.
Ik vraag me bij zulke vragen altijd wel af waarom niemand zich zorgen maakt bij eenzelfde communicatie per brief.
Arnoud
Wel grappig dat je je afvraagt waarom niemand zich zorgen maakt bij correspondentie per brief. Er zijn gemeenten die voorheen standaard op een brief het BSN zetten. Een aantal gemeenten is daarop terug gekomen als gevolg van reacties/klachten van burgers dat het BSN soms zichtbaar kon zijn door het venster van de envelop en dat dit identiteitsfraude in de hand kan werken. Dus op sommige plaatsen zijn mensen ook over schriftelijke communicatie bezorgd.
Omdat: Een brief niet zomaar doorgestuurd kan worden met 2 verkeerde muisklikken. En een brief niet cleartext verzonden wordt. En kennis nemen van de inhoud van een brief terwijl deze langs postbode etc gaat minder simpel is. En er bij het verzenden van een brief over het algemeen zorgvuldiger naar geaddresseerde wordt gekeken, je wil niet weten hoeveel persoonlijke gegevens wij krijgen bestemd voor een zorgverleningsinstantie waarvan de afkorting min of meer overeenkomt met onze domeinnaam. Waarschuwen afzender en kieperen de inhoud weg, maar het hoort niet!
Wil je toch per e-mail en een beveiliging die min of meer overeenkomt met een brief, dan inpakken in een zipje en encrypten. Al was het maar met een simpel wachtwoord beveiligde zip. Niet extreem veilig, maar toch wat minder simpel om zomaar even te lezen.
Gesorteerd van onveilig naar veilig: * niet-encrypted e-mail: kan gelezen worden door e-mail providers. Kopieën maken is triviaal en geautomatiseerd scannen op zoektermen is ook triviaal. * papieren post zonder dichtgeplakte envelop: kan gelezen worden door postbodes; kopieën maken kost wat moeite en geautomatiseerd scannen op zoektermen is erg omslachtig. * papieren post met dichtgeplakte envelop: lezen en kopieën maken kost wat moeite, en geautomatiseerd scannen op zoektermen is erg omslachtig. * encrypted e-mail: kopieën maken is onschadelijk; lezen en geautomatiseerd scannen op zoektermen is praktisch onmogelijk.
Hoewel: in het laatste geval is de encryptie zelf waarschijnlijk niet de beperkende factor. Als de e-mail vervolgens plaintext op een slecht beveiligde computer komt te staan, dan is het nog steeds beter bereikbaar voor kwaadwillenden dan een brief in een papieren archief.
Het blijft toch onbevredigend. Zonder normen kan iedereen zo laks omgaan met andermans gegevens als hij/zij goeddunkt. Misschien had het zo geregeld kunnen zijn:
Zonder toestemming persoonsgegevens verwerken zou alleen moeten mogen in specifieke gevallen waarin de wet dat expliciet toestaat, en dan alleen onder zeer zware beveiliging van de gegevens. Hier zou je wel vanuit de wet normen moeten stellen; die normen moeten dan wel periodiek worden aangepast aan de stand van de techniek.
De praktijk die mij in mijn ICT-gerelateerde baan hierbij opvalt is dat het vaak neerkomt op “zo laks als de mensen met de centen nodig achten”. Wat meestal niet bepaald neerkomt op een hoog niveau (want ze hebben wel verstand van centen maar niet van computers), totdat ze slachtoffer worden van een mediagenieke hack…
Inderdaad mis ik daar ook normen, maar tegelijk zou ik ook niet weten hoe je voorwaarden aan beveiliging verwoord op een manier die hout snijdt en tegelijk niet binnen korte tijd out-of-date is.
Wat bij zo’n discussie altijd waardevol is, is om het perspectief van de overheid erbij te betrekken. Het Bestuursrecht kent zowel de logica via de zorgvuldigheid als via afdeling 2.3 waarin bepalingen zijn opgenomen die zien op de noodzakelijke verdeling van verantwoordelijkheid voor het onafwendbare risico dat aan elektronische communicatie is verbonden. Veel overheidsorganen lijken er van uit te gaan dat het voldoen aan de wbp al genoeg is. Dan gaan vooral gemeenten lukraak elektronische diensten aanbieden zonder stil te staan bij de gevolgen voor de burger in de zin van toename van het risico voor identiteitsfraude en misbruik van gegevens.
De vraag is nu natuurlijk ook of ik het visitekaartje van een collega mag weggeven aan klanten. 🙂 Qua privacy-wetgeving zou dat wel eens verboden kunnen zijn… 🙂 Maar ik vraag mij ook af in hoeverre ik mijn verzameling visitekaartjes van anderen moet beschermen tegen misbruik en of ik deze wel mag inscannen en dan digitaal bewaren. Of in hoeverre ik mijn adresboek moet beveiligen met de NAW gegevens van mijn familieleden. Sowieso is het al lastig om persoonsgegevens te beschrijven. Is mijn kledingstijl b.v. een persoonsgegeven, als ik steeds weer dezelfde soort kleren draag? (Bodywarmer, hoed, regenjas, spijkerbroek, overhemd, etc.) Is het medische dossier van mijn hond bij de dierenarts een persoonsgegeven? Is mijn klantenkaart bij de Jumbo een persoonsgegeven? Is het pinbonnetje van na het pinnen in de winkel een persoonsgegeven? En zo ja, hoe goed moeten al die gegevens vervolgens bewaard worden? Vooral dat laatste… Bij pinautomaten en bij kassa’s komt het vaak voor dat mensen het bonnetje niet willen hebben en dus weggooien. Lijkt mij enorm onveilig. Toch?
Tegenwoordig zie ik in de meeste gevallen TLS dus “onderweg” de briefkaart lezen werkt niet meer (maar wel checken of de ontvanger dat daadwerkelijk doet met bv http://www.checktls.com/
Maar als je per ongeluk de verkeerde g uit de snelle adressen kiest dan gaat het naar de verkeerde persoon en die kan het gewoon lezen. Dus end to end is wel beter
Klopt, maar end-to-end is ook beter omdat e-mail providers en hun medewerkers dan niet mee kunnen lezen. Ook zie je bij TLS alleen of de eerste “hop” beveiligd is: hoewel TLS ook “vaak” voor de andere delen van de lijn wordt gebruikt, kan je dit niet controleren.
Hoe moeilijk is het nou echt voor bedrijven en overheden om voor elke werknemer een PGP-sleutel te regelen? Meestal is er toch wel ergens een ICT-afdeling die dit soort dingen kan installeren?
Bedrijven ok, maar verwacht je echt dat de overheid PGP sleutels voor iedereen gaat regelen? We hebben het hier over die organisatie met Ivo Opstelten, die het liefst iederen 24/7/365 afluisterd en alles op slaat, omdat ‘je niet weet wie ooit een verdachte wordt’.
Ik vrees dat (goede) encryptie nooit standaard wordt. Dat is namelijk incompatible met webmail. Als iedereen nu e-mail clients zou gebruiken en er een standaard ecryptie komt in alle mailclients met uitwisselbare key-files, dan zie ik het daar nog wel gebeuren.
Een paspoort is bedoeld om de houder ervan te identificeren. De bedoeling is dus, dat de houder het ding vasthoudt of in de nabijheid verkeert. Wat is de zin van het toesturen van een kopie als je die nergens AAN kunt controleren?