Nieuws & blogs

BLOG | De oplossing(en) om datalekken door het onjuist versturen van e-mails te voorkomen

Door: Dennie Spreeuwenberg - Oprichter en CEO van Awaretrain (LinkedIn)

In de recente Datalekkenrapportage van de Autoriteit persoonsgegevens komt naar voren dat het aantal datalekken als gevolg van het onjuist versturen van e-mails nog steeds zorgwekkend hoog is. Ongeveer 16% van alle datalekken ontstaat doordat persoonsgegevens worden verstuurd naar de verkeerde ontvanger of doordat een e-mail wordt verstuurd met ontvangers in het "aan"-veld of de cc. Hoewel de impact van een datalek door het onjuist versturen van een e-mail kan variëren, blijft het een incident dat gemeld moet worden.

Onlangs heb ik zelf nog een situatie meegemaakt waarbij een restaurant een e-mail stuurde over een nieuw arrangement, maar alle ontvangers in het "aan"-veld plaatste. Ik kan me overigens niet herinneren dat ik toestemming heb gegeven dat ze me mogen contacten, maar dat terzijde. De impact van dergelijke datalekken kan echter veel verder gaan.

Zo veroorzaakte de gemeente Groningen een incident, waarbij de e-mailadressen van 450 personen die in de bijstand zitten werden gelekt. De medewerker wilde deelnemers aan een bepaald traject een e-mail sturen, maar plaatste de mailadressen in het cc-veld. Zo was voor iedereen zichtbaar wie de e-mail nog meer had ontvangen. Een ander voorbeeld is dat van bouwbedrijf Heijmans. Bij het versturen van een mail aan geïnteresseerden in een nieuwbouwproject werd per ongeluk een Excel-bestand meegestuurd met informatie over het inkomen en eigen vermogen van andere gegadigden. Het mag duidelijk zijn dat de impact van deze laatste twee voorbeelden groter is dan het voorbeeld dat ik persoonlijk heb meegemaakt, maar een datalek blijft een datalek.

Een moment van onoplettendheid en een fout is zo gemaakt. Hoe zouden jouw klanten of relaties reageren als dit met hun gegevens zou gebeuren? Gelukkig hebben we ook oplossingen voor deze problematiek. Bij Awaretrain geloven we niet alleen in het benadrukken van veilig gedrag, maar ook in het creëren van de juiste omstandigheden om dat veilige gedrag te bevorderen. Hieronder lees je enkele tips die ik je wil meegeven en die het verschil kunnen maken in het voorkomen van datalekken via e-mail.

27 jun Foto van een persoon die een e-mail aan het versturen is

Beperk het aantal ontvangers

Een behoorlijke open deur, maar laten we eens anders naar dit probleem kijken. Waarom zou je überhaupt grote hoeveelheden e-mails willen versturen met standaard mailprogramma’s zoals Outlook? Er zijn veel betere oplossingen beschikbaar waarbij het zelfs onmogelijk is om mensen in het "aan" of "cc" veld te plaatsen. Denk bijvoorbeeld aan het gebruik van een nieuwsbriefplatform (denk wel aan de verwerkersovereenkomst ūüėČ). Hiermee voorkom je dat mensen nog steeds Outlook gebruiken voor bulkmails.

Als je dan toch vanuit Outlook wilt mailen en wilt voorkomen dat er naar grote groepen ontvangers wordt gemaild, kun je binnen Microsoft 365 eenvoudig een instelling wijzigen die bepaalt hoeveel mensen er maximaal per e-mail kunnen worden toegevoegd. Ga naar https://admin.exchange.microsoft.com/ en volg de volgende stappen:

  • Klik op "Recipients" en selecteer "Mailboxes"
  • Kies de relevante gebruikers voor wie je de instelling wilt wijzigen
  • Klik op "Set recipient limit"
  • Stel het maximumaantal ontvangers in, bijvoorbeeld 5 (of een ander geschikt aantal)*
  • Sla de wijziging op

*Houd er rekening mee dat een distributiegroep die is opgeslagen in het gedeelde adresboek van de organisatie als één ontvanger wordt geteld. In een persoonlijke distributielijst wordt elke ontvanger afzonderlijk geteld. 

[Klik op de afbeelding om deze te vergroten]

Gebruik veiligere alternatieven dan standaard e-mail

Het probleem van dit soort datalekken beperkt zich niet alleen tot bulkmails. Het kan ook voorkomen dat er een typefout in een e-mailadres wordt gemaakt, waardoor persoonsgegevens bij de verkeerde ontvanger terecht komen. In dergelijke gevallen is het raadzaam om veiligere communicatiemiddelen te gebruiken, zoals Zivver of Zorgmail. Deze alternatieven bieden extra beveiligingslagen om de privacy van de verzonden gegevens te waarborgen. Dit maakt dat niemand anders dan de bevoegde ontvanger toegang heeft tot het bericht. Het is dan overigens wel van belang dat het wachtwoord via een ander kanaal dan e-mail wordt verstuurd, bijvoorbeeld via sms.

Beperk exportfuncties van applicaties

Exportfuncties waarmee je grote datasets in één keer kunt downloaden, kunnen handig zijn voor analyses, maar ze vormen ook een groot risico. Beperk daarom de toegang tot dit soort functies zo veel mogelijk en deel dergelijke bestanden niet zomaar via e-mail. De kans op het per ongeluk versturen van de lijst naar de verkeerde persoon is aanwezig en de gevolgen kunnen niet te overzien zijn. Overweeg ook het implementeren van een Data Loss Prevention (DLP)-oplossing om extra beveiliging te bieden.

De kracht van user awareness

User awareness is natuurlijk onmisbaar om gebruikers bewust te maken van de risico’s van datalekken bij het versturen van e-mails. Leer hen gevoelige informatie te identificeren en te begrijpen welke gegevens wel en niet via e-mail gedeeld mogen worden. Laat hen de persoonlijke en zakelijke gevolgen van datalekken inzien en maak hen vertrouwd met het beleid dat binnen de organisatie geldt. Geef ze daarbij de handvatten en tools die ze nodig hebben om deze kennis in de praktijk te brengen.

Een andere goede aanpak in het creëren van bewustzijn is het behandelen van casestudy’s van eerdere datalekken met ernstige gevolgen door onjuist e-mailgebruik. Deze praktijksituaties creëren een dieper begrip van de impact van datalekken en de noodzaak om veiligheidsbewuste keuzes te maken.

Conclusie

Om datalekken door het versturen van e-mails te voorkomen, is een combinatie van bewustwording, gedragsverandering en technologische maatregelen vereist. Door het beperken van het aantal ontvangers, het gebruik van veiligere alternatieven en het beperken van exportfuncties kunnen we het risico op datalekken aanzienlijk verminderen. Neem contact met ons op om te ontdekken hoe we jou kunnen helpen bij het bewust maken van je collega's op dit gebied.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

02 okt
De Rijksdienst voor Ondernemend Nederland (RVO) komt met cybersubsidie voor kleine bedrijven Lees meer
07 sep
Doe jij iets extra’s tijdens de cybersecurity awareness maand in oktober? Check onze gratis toolkit! Lees meer
Foto van Daphne Hengest, Content Designer bij Awaretrain 24 aug
Maak kennis met... Daphne Hengst, Content Designer Lees meer
Bekijk alle blogs