Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

38 reacties

  1. Ik ben het helemaal eens met het artikel. E-mail is principieel onveilig. Tegenwoordig wordt er steeds meer gelet op versleutelde transport, maar buiten dat zie je dat er veel mensen zijn die overal het zelfde wachtwoord gebruiken waardoor de mailbox door derden uitgelezen kan worden. Zeker bij IMAP, waarbij in de regel de berichten op de server blijven staan, is dit een extra risico.

  2. Steeds meer organisaties hebben een mailserver die TLS ondersteunt. Ziggo, een van de grootste aanbieders, heeft dit standaard. Ook gmail ondersteunt dit. Ik ben het met jou eens dat een klantnummer ed. geen gevoelig persoonsgegeven is en dat de mail juist uitermate geschikt is voor de communicatie met de klant zoals genoemd. Echter, het feit dat er aan iedere mail weer gegevens worden toegevoegd is wel dubbel. Ik zou een correspondentie starten met het klantnummer in het onderwerp op de volgende wijze: ”klantnummer: betreft waterlasten” of iets dergelijks. Zij kunnen in hun bestand zien welke gegevens bij deze persoon horen. Zo voorkom je dat een dataset onderschept wordt.

    1. TLS is leuk voor encryptie tussen jou en je e-mail-provider, maar het is geen end-to-end-encryptie tussen jou en degene die de e-mail verstuurt. Het gevolg is dat, zelfs als op elke link TLS wordt gebruikt, jouw e-mail-provider en de e-mail-provider van de versturende partij nog steeds toegang hebben tot de niet-encrypted e-mail. Dit geldt dus ook voor (een deel van) de werknemers van die providers, en voor eventuele hackers die zichzelf toegang hebben weten te geven tot die providers.

      PGP is een veilige end-to-end oplossing, maar het is erg lastig te gebruiken en wordt door bijna niemand gebruikt. Misschien is het praktischer voor een bedrijf om alleen notificaties per e-mail te doen, en de bulk van communicatie (inclusief gevoelige gegevens) op de website te doen. Een eigen website met TLS (dus HTTPS) is wel end-to-end encrypted.

        1. Er zijn veel bedrijven die al zo werken. MediaMarkt is hier een voorbeeld van. Tegen deze werkwijze is een praktisch bezwaar tegen. Aan verklaringen die langs deze weg beschikbaar worden gemaakt komt geen werking toe zolang de persoon in kwestie nooit op de link in de mail klinkt, omdat de verklaring dan nooit de persoon heeft bereikt (art. 3:37 lid 3 BW). Vergelijkingen met de eigen brievenbus gaan mank, omdat de ontvanger wel heeft gekozen voor de brievenbus, maar niet voor de tig online brievenbussen. Provider zouden hier wel wat in kunnen betekenen, omdat de klant wel voor de provider heeft gekozen.

  3. Arnoud schrijft ‘ kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport’

    Je kunt je afvragen of je de vraag ‘is een medium veilig genoeg voor een bepaald type persoonsgegevens’ moet beoordelen door wat technisch kan, of door wat eerder de praktijk is.

    Ook een klassieke brief kan gelezen worden tijdens het transport. Ook medische gegevens worden binnen het ziekenhuis getransporteerd en kunnen gemakkelijk gestolen worden. Hoeveel webwinkelpakjes worden wel niet verkeerd bezorgd of raken kwijt?

    Ik zou dus denken…wat technisch kan is niet belangrijk, wat de praktijk is, dat telt. En normaal gesproken zit er echt niemand de emails van gewone privepersonen af te tappen.

    1. “En normaal gesproken zit er echt niemand de emails van gewone privepersonen af te tappen.”

      Jawel, ten behoeve van advertenties en profiling (gmail) of voor de vrienden van de NSA (alle commerciële Amerikaanse e-maildiensten).

      1. Ten behoeve van advertenties? Ik ben geen expert, maar toch zeker niet bij de meeste providers. Misschien dat er een paar zijn, misschien zelfs een hele grote (gmail), maar dit is toch eerder de uitzondering waar je zelf voor gekozen hebt.

        En dan de inlichtingendiensten. Ik neem die nooit in beschouwing voor ‘privacy’ aspecten. De redenen zijn de volgende – ze doen toch wat ze willen, ze komen toch wel aan alle info, of je nu huis tuin en keuken beveiliging toepast of niet. Als ze jouw medische gegevens willen dan hacken ze die wel, en als ze willen weten met wie jij slaapt plakken ze wel een microfoontje onder je bed. – vanuit hun aard publiceren ze niet wat ze weten, maar houden ze dat geheim.

        De WBP betreft persoongegevens die ‘vrij’beschikbaar zijn. De WBP betreft volgens mij geen situaties waarin een ander eerst moet inbreken (fysiek of electronisch) om aan de persoonsgegevens te komen. Daar is gewoon niet tegenop te wetgeven, als alles-wat-technisch-mogelijk-is-als-je-bereid-bent-de-wet-te-overtreden ook onder de WBP moet vallen.

        Je kunt een systeembeheerder niet verwijten onvoorzichtig te zijn als hij iemand toegang tot persoonsgegevens geeft die een mes op de keel van zijn kinderen houdt.

        1. Ik denk dat je te fatalistisch bent over de inlichtingendiensten. Misschien kunnen ze, als ze het echt willen, toch wel bij je gegevens, maar door wat privacy-bewuster te leven maak je het hun wel een stuk moeilijker en duurder. Die kosten zijn allesbepalend: bij hogere kosten zullen ze selectief moeten zijn wie ze bespioneren, en hoogstwaarschijnlijk ben jij dan niet een interessant doelwit.

          1. Tja, een interessant doelwit ben ik toch al niet, of het nu veel of weinig zou kosten mij te bespioneren.

            Ik denk niet dat de inlichtingendiensten zeggen ‘we hebben geld om 10000 mensen te bespioneren die gewone email hebben, of 1000 die een beveiligde verbinding hebben, laten we die 10000 maar pakken’. Inlichtingendiensten bespioneren niet om het bespioneren, maar met een bepaald doel. En het kan best zijn dat ze wegens geldredenen niet iedereen kunnen bespioneren die ze willen, en dan zullen ze keuzes maken, maar wel op basis van ‘kans dat het wat oplevert’, niet op basis van ‘och het is een goedkope, laten we die er maar bij doen’

            Het is niet alsof ze op de markt lopen en dat kilotje tomaten nemen omdat het weinig kost terwijl ze eigenlijk appelmoes willen maken maar de appels relatief duur zijn.

          2. Je suggereert dat inlichtingendiensten doelwitten kiezen op hoe makkelijk ze aan gegevens kunnen komen, dat lijkt me geen reëel wereldbeeld. Tuurlijk, er zijn wel wat sleepnetten die privacy gevoelige informatie oppikken, maar het feit dat ze op die manier je persoonsgegevens en rekeningnummers vergaren, maakt je nog geen “interessant doelwit”.

            1. Er zitten twee niveaus in het hele inlichtingen-verhaal: “worden mijn gegevens verzameld?” en “heeft dat consequenties voor mij?”. Uiteindelijk gaat het natuurlijk om het tweede. Het probleem is dat dat moeilijk is in te schatten: opgeslagen gegevens kunnen heel lang bewaard blijven, en in de verre toekomst, in een ander politiek klimaat, op nieuwe manieren geïnterpreteerd worden.

              Het is dus zaak om de gegevens-verzameling te minimaliseren. Zolang je nu geen interessant doelwit bent zullen inlichtingendiensten nu geen grote investeringen doen om jou af te luisteren. Een goedkoop “sleepnet” is voor hen wel interessant om nieuwe doelwitten te vinden, maar de totale kosten daarvan mogen niet te hoog worden. Als er maar een paar mensen zijn die zich goed tegen spionage beschermen dan zijn dat misschien juist wel interessante doelwitten, maar als hele mensenmassa’s dat doen, dan wordt het onbetaalbaar om die mensen als doelwit te zien. Die mensen zijn dan veilig voor het “sleepnet”; dit is waarom ze zo klagen dat “het internet op zwart gaat”.

              Het “sleepnet” dient voor zover ik kan bedenken vooral om nieuwe doelwitten in kaart te brengen, en vanwege de schaal zal verwerking waarschijnlijk grotendeels geautomatiseerd verlopen. Ik verwacht dat er woordgebruik wordt geanalyseerd (waar ben je in geïnteresseerd?), en dat netwerken in kaart worden gebracht (met wie communiceer je, met wie onderhoud je zakelijke contacten?). Je bankrekening zegt waarschijnlijk niet zo veel (die kunnen ze ook bij je bank opvragen), maar laat wel zien dat je een zakelijke relatie hebt met dit bedrijf. In het geval van het waterbedrijf niet zo interessant; bij andere bedrijven is het misschien een relevant onderdeel van profiling.

                1. Goede vraag; voor zover ik weet bestaan daar praktisch nooit goede procedures voor; niet in Nederland, niet in de VS en niet in andere landen. Het zou wel een goed idee zijn om zulke procedures te hebben. En er zijn wel voorbeelden van mensen die slachtoffer van zijn van fouten bij inlichtingendiensten.

                  Onterecht “gesleepnet” worden zal meestal een consequentie zijn van niet-exacte “profiling”. Soms is het zoiets doms als de zelfde naam hebben als iemand anders die om de één of andere reden verdacht is; soms is het een kwestie van de verkeerde zoektermen gebruiken, of toevallig in het sociale netwerk zitten van iemand die om de één of andere reden verdacht is.

                  Zulke “profiling” kan nooit echt nauwkeurig zijn: daarvoor zou een rechtszaak nodig zijn, en daar beginnen ze meestal niet aan. Als fouten voor jou consequenties hebben, dan word je dus in wezen gestraft zonder dat iemand een onafhankelijk, goed onderbouwd oordeel heeft gevormd. Meestal is het ook nog gestraft worden voor iets wat helemaal niet illegaal is, of immoreel is, of waarvan je kon weten dat het bestraft zou kunnen worden.

  4. Dat ligt er helemaal aan hoe de partijen in het transport ermee omgaan, zowel verzender als hoster van de ontvanger. Wanneer zij allen (inclusief de ontvanger) gebruik maken van een versleutelde verbinding (TLS), zie ik geen probleem. Eventuele encryptie van de mail zou nog een verbetering zijn.

    1. Zolang de TLS-encryptie niet end-to-end is, zal de e-mail op elke tussenliggende host (tijdelijk?) in plain text worden opgeslagen. Het is dus een goed idee om de e-mail zelf te encrypten met PGP/GPG of S/MIME. Sinds kort is Letsencrypt heel populair. Hierbij worden gratis certificaten uitgedeeld die eenvoudig geïnstalleerd kunnen worden. Ik vroeg mij af of er niet een vergelijkbaar initiatief voor e-mail kan komen.

  5. Het probleem is niet of er wel of geen TLS gebruikt wordt of dat een e-mail provider wel of niet de mailtjes scant. Het probleem is dat als ik een mailtje verstuur, ik niet van te voren weet hoe goed de beveiliging is. Dat maakt het medium m.i. alleen geschikt voor persoonsgegevens waar maar aan zeer laag risico aan hangt.

    1. Mee eens. Eigenlijk zou je de optie moeten hebben bij het versturen van een email om enkel de email af te leveren/te verwerken wanneer er encryptie is. Wanneer de eerstvolgende hub/node geen TLS ondersteund, moet de email worden geretourneerd met een Mail Delivery Notification.

      1. Een ander protocol, XMPP, had een tijd lang hiervoor een ‘secure’ attribute. Er is besloten om die weer uit het protocol te halen, omdat je voor het afdwingen ervan afhankelijk bent van andere partijen en je dus eigenlijk nog niets weet. Net als dat niet elke aanvaller netjes de ‘evil-bit’ aanzet in zijn packets… 😛

  6. Op zich zijn het niet direct gevoelige gegevens, maar veel helpdesks gebruiken het wel om klanten te identificeren. “Wat is uw naam & klantnummer?” Met die gegevens kan je je dus wel uitgeven aan iemand anders. Qua privacy is het dan misschien niet direct een probleem, met security wel.

  7. In plaats van te hopen dat je e-mail servers TLS ondersteunen (wat overigens niet verplicht is) zou er in mijn optiek een vorm van end-to-end encryptie (denk aan PGP/GnuPG maar dan wat vriendelijker voor de eindgebruikers) ingezet moeten worden.

    Vaak krijg je de vraag om ‘even’ persoonlijke gegevens via e-mail op te sturen, want da’s lekker makkelijk immers. Degene ‘aan de andere kant’ vertrouw je wel, en je wil dat die persoon de gegevens krijgt.

    Probleem blijft hoe je zoiets inzetbaar kunt maken: probeer maar eens iemand PGP/GnuPG uit te leggen? De manier hoe WhatsApp het aanpakt lijkt een stuk vriendelijker, maar hoe doe je dat op een generieke manier zonder allemaal apps enzo nodig te hebben – dat blijft lastig.

  8. Ik merk dat klassieke snail mail veel vaker verkeerd bezorgd wordt dan email. Zeker als je op een huisnummer woont waar er ook meerdere huisnummer toevoegingen een rol spelen. Tijdens de vakantie periodes als er vervangende postbezorgers rondlopen heb ik vaak tien verkeerd bezorgde poststukken per week

    . Zo kreeg ikeen keer 12 blauwe enveloppen. Dat is toch ff schrikken. Ook krijg ik heel af en toe post die weer is dichtgeplakt die door mijn buren warschijnlijk per ongeluk is geopend.
  9. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag

    Dat klopt gewoon niet. Het is hun eigen keuze om van e-mail gebruik te maken, dus dat ligt helemaal niet buiten hun macht. Als je zelf kiest om de macht uit handen te geven, dan is het excuus “het ligt buiten onze macht” niet geldig.

    En er zijn allerlei alternatieven: papieren post (ook niet perfect veilig, maar is in ieder geval moeilijk automatisch / ondetecteerbaar af te luisteren), ga op bezoek bij je klant of nodig je klant uit op kantoor. Of, elektronisch: gebruik PGP, of doe de communicatie op je eigen website (zodat TLS wel end-to-end encryptie levert). Misschien hebben die alternatieven hun eigen nadelen, maar het blijft je eigen keuze, dus ga niet zeuren dat het buiten je macht ligt.

  10. Ik heb een domeinnaam die maar 1 letter verschilt van de domeinnaam van een financiële dienstverlener (en ja, dat is puur toeval). Het komt regelmatig voor dat ik mail ontvang welke bedoeld was voor deze dienstverlener, maar door een typefout in mijn mailbox terecht komt. Vaak verstuurd door klanten van dit bedrijf, maar soms ook door andere bedrijven die zo per email soms wel heel erg gevoelige informatie versturen.

    Het meest gênante geval was wel een bevestiging van het opheffen van een bankrekening van een overleden klant. Als bijlage was een acte meegestuurd met daarin onder meer BSN, paspoort nummer, rekening nummer, geboorte data en adressen. Volgens mij is er echt niets meer nodig om (mocht ik dat willen) identiteitsfraude te plegen. Ik moet er niet aan denken dat zo met mijn eigen data wordt omgesprongen.

    Ik beantwoord dit soort mails altijd met een tekst in de trant van “ik vermoed dat u deze email naar een verkeerd adres heeft gestuurd; ik kan u niet verder helpen”. Wat kan ik het beste doen als ik weer zo’n situatie als hierboven aantref?

  11. Ik heb toch wel moeite met je voorbehoud dat naam + adres + klantnummer geen gevoelige informatie is. Natuurlijk, als het alleen om deze 3 gegevens gaat, dan heb je gelijk. Echter een andere instantie zal misschien inlog gegevens sturen voor een website, weer een andere instantie enz….. Als je alles bij elkaar gaat optellen, kan het je zo maar overkomen dat iemand er met je (online) identiteit vandoor gaat. Het zou verder goed zijn als er (verplicht) met een vorm van pki gewerkt gaat worden als het om email gaat. Dan weet je in ieder geval dat als je een mail krijgt, dat deze voor jou is bestemd en dat deze van de zender komt die zegt dat hij het verstuurd heeft.

    1. Als bedrijven en instanties al begonnen met het signeren van mail met PGP, dan kun je in ieder geval verifiëren of de mail van de juiste afzender komt en dat er niets met de inhoud gebeurd is. Heb je daar geen zin in dan is het ook niet erg want de mail is verder gewoon plaintext. Maar dan heb je in ieder geval die mogelijkheid, baat het niet dan schaadt het niet.

      Daarnaast verspreid je daarmee misschien (hopelijk) wat bewustwording over het feit dat er zoiets als PGP bestaat. Encryptie kan altijd later nog. Baby steps…

      1. Het ging om een (aan)vraag per webformulier. In de betreffende webpagina moet je de genoemde gegevens evenals je vraag invullen. In het antwoord kwam ook de gehele inhoud van het formulier weer mee terug per e-mail.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.