GDPR en Data encryptie

Steeds vaker wordt ons de vraag gesteld of het nodig is data via encryptie naar relaties met behulp van email te versturen over het internet. De nieuwe AVG wet leeft bij veel van onze relaties en dit is een thema wat daar binnen past.

Wie zaken doet binnen de Europese Unie moet gaan voldoen aan de zogenaamde General Data Protection Regulation (GDPR) van de EU. Deze treedt op 25 mei 2018 in werking. Er staan (forse) boetes op het niet voldoen aan de GDPR, en dus kan er werk aan de winkel zijn.

Geldt de GDPR voor u?

De GDPR is van u op toepassing op het moment dat u met privé gekenmerkte data werkt. Wanneer u zich aan de GDPR moet houden, moet u maatregelen genomen hebben die er voor zorgen dat deze gevoelige data niet op straat komt te liggen. U moet niet alleen de juiste procedures in hebben gesteld, u dient tevens technische middelen in gebruik te hebben genomen die de data in voldoende mate beveiligen.

Nu is dit laatste een complex ding. De GDPR zegt namelijk dat u passende technische en organisatorische maatregelen moet nemen waarmee een minimaal beveiligingsniveau wordt gegarandeerd passend bij de risico’s. Maar wat betekent dit dan concreet? Men spreekt hierbij onder andere over het nemen van beveiligingsmaatregelen die naar de laatste stand van de techniek zijn ingericht. Het lijkt dan ook logisch om in ieder geval te werken met pseudonimisering en om persoonsgegevens te versleutelen.

Wat is encryptie?

Bij het versleutelen van gegevens worden deze gegevens niet zelf opgeslagen, maar als een soort vertaling opgeslagen als onleesbare tekens. Er is een unieke sleutel voor nodig om deze onleesbare tekens weer terug te kunnen brengen naar leesbare tekst. De verzender versleuteld dus, terwijl de ontvanger de ontvangen data dient te “ontsleutelen”. De ontvanger krijgt daarvoor van de verzender een sleutel.

De versleuteling (encryptie) van gegevens zou dus als oplossing kunnen bijdragen om de GDPR na te komen. Encryptie alleen is echter niet voldoende. Zonder bijvoorbeeld de juiste procedures heeft u met alleen encryptie de zaken nog steeds niet goed geregeld.

Microsoft Office 365

Mail verstuurd met Office 365 is standaard versleuteld. De informatie in deze email wordt versleuteld zodat in theorie alleen een ontvanger de inhoud kan “ontsleutelen”. Office 365 kent daar twee varianten van. De eerste staat standaard ingesteld en wordt dus gebruikt in Office 365. Daar hoeft niets voor te worden ingesteld. Deze versleuteling zorgt er voor dat email niet als platte tekst wordt verstuurd, maar ook niet veel meer dan dat. Daarnaast kan het betekenen dat als een dergelijk bericht wordt afgegeven aan een mailsysteem dat dit niet ondersteunt, deze beveiliging er alsnog af wordt gehaald. Zou dit niet gebeuren, dan zou het mailtje immers onleesbaar blijven.

Een tweede mogelijkheid die Microsoft biedt is dat de Office 365 Message Encryption wordt ingeschakeld. Dit is niet standaard en moet dus geregeld worden. Heeft u de beschikking over bijvoorbeeld Office 365 E3 (een speciale variant van Office 365), dan zit deze mogelijkheid ingebouwd. Verreweg de meeste bedrijven hebben dit niet en daarvoor moet dan Office 365 Message Encryption of iets soortgelijks apart worden aangekocht en geïnstalleerd.

Bij Office 365 Message Encryption verstuurt u als verzender een bericht welke door de server van Microsoft wordt onderschept. Microsoft laat op uw mail een aantal rules los welke zelf deels opgegeven kunnen worden. Deze rules (regels) bepalen wat voor een soort encryptie er moet worden toegepast, wanneer en waarop. Daarna zorgt Microsoft voor de encryptie en verstuurt het bericht naar de ontvanger. Stel dat de ontvanger Gmail gebruikt, dan ontvangt deze het bericht voorzien van een HTML bijlage. Door deze bijlage te openen kan hij inloggen op een portal (website) alwaar het bericht wordt ontsleuteld en kan worden gebruikt. De versleuteling wordt dus niet van de email afgehaald, ook niet wanneer het naar een ‘niet-Microsoft-systeem’ wordt verstuurd.

ESET Endpoint Encryption

ESET, waar wij net als van Microsoft partner van zijn, levert een product dat de ESET Endpoint Encryption wordt genoemd. De flexibiliteit en het gebruikersgemak van dit product zijn groot te noemen. Het zorgt niet alleen voor de encryptie van email, maar ook van de bestanden op een harddisk en zelfs op die van een USB stick.

Het grote voordeel wat wij zien bij dit product is dat het minimale interactie van de gebruiker nodig heeft. Dit zorgt er voor dat de naleving van regels in de hand wordt gewerkt. Want wees eerlijk, als iets omslachtig wordt, dan proberen we het vaak te ontlopen.

Conclusie

Werkt u binnen de EU en verstuurt u privacy gevoelige data via email dan moet u voldoen aan de GDPR, wat onder andere inhoudt dat u gebruik moet maken van beveiligingsmaatregelen die naar de laatste stand van de techniek zijn ingericht. Hoewel systemen zoals Microsoft Office 365 email standaard versleuteling gebruiken, kunt u daar nog een schepje bovenop doen. De noodzaak daartoe is afhankelijk van de aard van de gegevens, naar wie (welk systeem) u deze gegevens stuurt en de gevoeligheid van de data.

Wilt u extra technische maatregelen nemen, dan kunnen wij dat voor u regelen. U kunt daarbij gebruik maken van bijvoorbeeld de oplossingen die Microsoft of ESET hiervoor hebben ontwikkeld.