Iedereen weet dat de AVG gebruikers dwingt beter op te letten bij e-mailen. Alle ontvangers van een mailing in de CC zetten is in principe een datalek. Maar er komt nog wel meer kijken om e-mailen echt veilig te maken.
Zweedse AVG boete
Wie het boetebesluit en persbericht daarover vertaalt ziet tot zijn verbazing dat er op het eerste gezicht niets mis was. De instantie mailde via een versleutelde verbinding met de lokale ontvangers van de informatie. Het zal wel een VPN zijn geweest die zijn werk goed deed. De kans op onderscheppen van het verkeer was daarmee voorkomen.
De fout die de instantie en de ontvangers maakten was echter dat ze de mails zelf zonder enige beveiliging verstuurden. Encryptie van de boodschap ontbrak en dat was, gelet op de inhoud, vereist om aan de AVG eisen te kunnen voldoen.
Italiaanse AVG boete
Een vergelijkbare fout leidde eind december tot een boete (7.000 Euro) voor een regionale Italiaanse zorginstantie. Ook daar was maar een aspect van het veilig e-mailen geregeld. Daarom was het voor een kwaadwillende hacker makkelijk aan data te komen (bron).
Ook al zijn dit geen Nederlandse cases, de boodschap moet duidelijk zijn. Zeer waarschijnblijk zijn er namelijk hier vergelijkbare fouten. Daarbij hoeft het niet alleen om medische gegevens te gaan. Voor financiële data vermengd met persoonsgegevens geldt precies hetzelfde. De verbinding en de boodschap moet afdoende beschermd zijn.
De meeste medische instellingen zullen zich, via de specialistische IT dienstverlener al ingedekt hebben. Zij hebben als helder kader de nieuwe NEN norm voor de sector. Maar dat wil niet zeggen dat elders in de informatieketen alles goed is geregeld.
Neem daarom deze twee cases mee als voorbeelden om aan te geven dat alleen een VPN onvoldoende is naar de definities van de AVG veilig te kunnen e-mailen.