'E-mail wordt in discussies over AVG vaak vergeten'
Discussies over de Algemene Verordening Gegevensbescherming gaan meestal over de torenhoge boetes die op de loer liggen of over het wel of niet aanstellen van een Data Protection Officer. Zelden gaat het over de e-mailsystemen die een schat aan persoonsgegevens bevatten. Onder de AVG kunnen die e-mailsystemen echter voor een tsunami aan papierwerk zorgen.
De General Data Protection Regulation (GDPR), zoals de AVG in het Engels heet, legt bedrijven die persoonsgegevens van EU-burgers verwerken strengere privacyregels op. Overtreden ze die regels, dan riskeren ze vanaf 25 mei 2018 flinke boetes tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dit zijn bedragen die de gemoederen flink bezighouden.
Bijzondere persoonsgegevens
Om boetes te voorkomen, investeren organisaties veel energie in bijvoorbeeld het in kaart brengen van de verwerkingen van persoonsgegevens en het uitvoeren van Privacy Impact Assessments. “Er is echter veel te weinig aandacht voor de minder voor de hand liggende risico’s. Zo kunnen persoonsgegevens die verborgen liggen in e-mailsystemen en -archieven compliance met de AVG in gevaar brengen”, waarschuwt Lisette Sens (foto), Director Northern Europe bij Mimecast dat is gespecialiseerd in e-mailsecurity en -archivering.
Volgens Sens onderschatten bedrijven de hoeveelheid privacygevoelige data die is opgeslagen in e-mailsystemen en -archieven. In veel gevallen gaat het zelfs om bijzondere persoonsgegevens. “Als je de deelnemers aan een evenement per e-mail vraagt of ze dieetwensen hebben, dan kunnen de antwoorden bijvoorbeeld iets zeggen over religie. Dan heb je het over bijzondere persoonsgegevens die terechtkomen in inboxen, persoonlijke folders en archieven. Compliance-officers weten vaak niet eens dat die gegevens bestaan, of kunnen ze niet aanwijzen.”
Recht op inzage
Onder de AVG moeten organisaties ook de persoonsgegevens in e-mailsystemen inzichtelijk maken. Op de eerste plaats om ze te kunnen beschermen tegen diefstal of verlies, bijvoorbeeld door het bijhouden van een kopie of het versleutelen van de data. Maar er is volgens Sens nog een dwingende reden. “Zonder dit inzicht is het onmogelijk om volledig inzicht te geven in verwerkingen van persoonsgegevens. Betrokkenen hebben hier op basis van artikel 15 van de AVG wel recht op.”
Een organisatie moet binnen een maand gehoor geven aan een inzageverzoek en mag geen onkosten in rekening brengen voor een kopie van de verwerkte persoonsgegevens. “Doordat er geen financiële drempel is voor het indienen van een inzageverzoek bestaat het risico op een administratieve DDoS-aanval”, waarschuwt Sens. “De vraag is dan of je als organisatie in staat bent om binnen een maand gehoor te geven aan honderden of misschien wel duizenden inzageverzoeken, ook als persoonsgegevens rondzwerven in e-mailsystemen en -archieven.”
Recht op gegevenswissing
Bij dit inzagerecht blijft het echter niet. Zo moet een organisatie persoonsgegevens ook kunnen verwijderen als een betrokkene hierom vraagt. Sens: “Dan moet je alle kopieën van persoonsgegevens snel kunnen identificeren en isoleren, ook als ze per e-mail zijn binnengekomen of zijn gearchiveerd. In dat laatste geval ben je afhankelijk van systemen waarmee je e-mail snel kunt doorzoeken en taggen.”
De meeste organisaties beschikken volgens Sens nog niet over dergelijke systemen. “Uit onderzoek van Mimecast blijkt dat bedrijven er na een verzoek gemiddeld zeven uur over doen om alle benodigde data boven tafel te krijgen. Heb je met honderd verzoeken tegelijkertijd te maken, dan heb je het over 700 uur werk. Daar zit een flink prijskaartje aan vast.”
Cloud de oplossing?
Voor veel bedrijven wordt het nog een hele opgave om hun e-mailsystemen en -archieven voor te bereiden op de AVG, zo voorspelt Sens. Een optie is om gebruik te maken van een e-maildienst uit de cloud. “Maar doe dat niet vanuit kostenoverwegingen. Alle mail simpelweg verplaatsen naar een cloudarchief zorgt niet automatisch voor compliance.”
“De selectie van de clouddienst moet uiterst zorgvuldig gebeuren”, besluit Sens. “Een migratie naar de cloud moet er uiteindelijk wel toe leiden dat je persoonsgegevens snel kunt opvragen en indien nodig kunt wissen. Om te voorkomen dat persoonsgegevens in verkeerde handen vallen, moet het e-mailsysteem gebruikers bovendien beschermen tegen bijvoorbeeld spear phishing, kwaadaardige e-maillinkjes en besmette attachments. Onder de AVG moet je immers niet alleen inzicht hebben in de persoonsgegevens die je verwerkt, maar je moet ze ook beschermen.”
