Gegevens delen per mail

In de dagelijkse praktijk loopt e-mail vaak over onbeveiligde verbindingen. Dat maakt gewone (onbeveiligde, niet versleutelde) e-mail per definitie geen goed medium voor uitwisseling van gevoelige (persoons)gegevens. Bovendien is e-mail een bron van bedreigingen, zoals malware en phishing. Tegelijkertijd is alles via de post ook niet meer van deze tijd en is een e-mail stukken sneller. Snelheid die soms noodzakelijk is.

Hieronder enkele tips:

1. Verbeter de awareness van medewerkers, bestuursleden of vrijwilligers over de regels hoe e-mail wel en niet kan worden gebruikt.

Bijvoorbeeld:

  • beperk zoveel mogelijk het gebruik van gevoelige persoonsgegevens in de tekst van de mail zelf;
  • stuur geen bijlagen mee waar gevoelige persoonsgegevens in staan;
  • dubbelcheck altijd de geadresseerde voor je op ‘verzenden’ drukt;
  • vraag de ontvanger om een bevestiging van ontvangst (dan ontdek je het sneller als het onverhoopt toch mis is gegaan);
  • maak duidelijke afspraken over wat te doen bij malware of phishing;
  • als er een collega weggaat of juist tijdelijk komt versterken: regel goed in wie waarbij mag (autorisaties) en hef een mailadres op als de collega niet meer in dienst / werkzaam is.

2. Gebruik alleen gewone mail als er geen vertrouwelijke (bijzondere) persoonsgegevens worden verwerkt


3. Kijk naar alternatieven voor het uitwisselen van informatie.

Zoals:

3.1. Uitwisseling onderling (binnen dezelfde organisatie):
Neem in je mail een link naar het bestand op in plaats van het bestand zelf mee te sturen.

3.2. Uitwisseling tussen zakelijke partijen (bijv. zorginstanties of -verleners onderling, maar ook uitwisseling met leveranciers, gemeenten):
Gebruik een veiligere manier dan het meesturen van een onbeveiligde bijlage in een mail, zoals:

  • versleutel het worddocument (eenvoudig via 7-Zip) en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp;
  • informeer bij collega’s of zij al gebruik maken van beveiligde mailverbindingen die voldoet aan de NTA 7516 norm en sluit waar mogelijk aan;
  • gebruik een online portaal dat met multifactor authenticatie is ingericht: naam en wachtwoord + een derde kenmerk (net als bij online bankieren met een token, sms-code, etc.).

3.3. Uitwisseling tussen zorgverleners en cliënten / patiënten
Voor het e-mailverkeer tussen zorgverleners en patiënt of cliënt hanteert de Autoriteit Persoonsgegevens de norm van versleuteling. Een arts mag dus best met zijn patiënt mailen, mits de e-mails versleuteld worden verstuurd. Ook de rest van de beveiliging moet goed geregeld zijn. Denk aan een gebruikersrichtlijn, antivirus- en antispamsoftware en beveiliging van de opslag van e-mails.

3.4. En als de patiënt of cliënt zelf als eerste met een zorgverlener wil mailen met gevoelige gegevens in een bijlage?
Attendeer de patiënt op het kunnen versleutelen van een document met gevoelige gegevens (via 7-Zip) en vraag hem het wachtwoord op het bestand via een ander medium te versturen.