Geen echo per e-mail

14 mei 2020

Het uploaden van documenten naar een webpagina, mogelijk gevoelige documenten zoals foto’s van identiteitsbewijzen, is redelijk veilig dankzij TLS (Transport Layer Security). Het webadres, ofwel de URL (URI) begint dan met https://, niet met http://.

E-mail versturen is minder veilig. Er zijn weliswaar moderne manieren om dit vercijferd te doen, bijvoorbeeld met port 587, maar de traditionele, onvercijferde manier met port 25 wordt ook nog vaak toegepast. In theorie zouden kwaadwilligen zo’n bericht zonder encryptie onderweg kunnen onderscheppen en kopiëren, inclusief eventuele bijlagen (attachment).

Het is prima als de instantie achter de website van de upload een bevestiging stuurt per e-mail, zodat de verzender weet dat het document of de documenten ontvangen zijn. Maar het is NIET de bedoeling dat aan zo’n e-mail de ontvangen documenten als bijlage worden toegevoegd.

Ten eerste heeft de verzender daar niks aan, die had ze immers zelf gestuurd en heeft ze dus al.

Ten tweede is een dergelijke handelwijze, zoals boven uitgelegd, een veiligheidsrisico. Omdat de documenten vaak persoonsgegevens bevatten, kan dit zelfs een meldplichtig datalek zijn onder de AVG (Algemene Verordening Gegevensbescherming). Zie artikel 33, “Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit”.

Ik noem geen namen, maar mij zijn recente gevallen bekend, van een notaris en een hypotheekadministrator, allebei instanties die toch beter zouden moeten weten. Wien de schoe past, trekke hem aan.