Tikfouten in e-mailadressen zorgen niet zelden dat privacygevoelige informatie terecht komt in verkeerde handen. Zowel particulieren als bedrijven maken zich niet zelden schuldig aan deze privacyschendingen.
Dat blijkt uit onderzoek van de Cyberonderzoeksraad, een groep experts in beveiliging onder leiding vanonderzoeksjournalist Brenno de Winter.
Medische dossiers
Het gaat daarbij vaak om gevoelige gegevens. Denk aan een proces-verbaal, aangiftes en medische dossiers. Ook kopieën van identiteitspapieren, bedrijfsgeheimen en zelfs vertrouwelijke stukken van ministeries lekken zo uit.
De onderzoeksgroep die de praktijken een jaar lang onderzocht, ontdekte in die tijd een dikke zeventig verkeerd getypte domeinnamen en zeker 15.000 e-mails. Daaruit zijn eerst spam en nieuwsbrieven gefilterd.
Daarna bleven er rond de 3.100 relevante berichten over. Dergelijke berichten staan vaak jarenlang in de diverse inboxen, zonder dat iemand erop let. Dit betekent volgens de groep dat kwaadwillenden hier snel een grote hoeveelheid gevoelige gegevens buit kunnen maken. Bedrijven denken hier vaak niet goed over na.
“De mailbox is vaak verworden tot een onsamenhangend archief met hierin de jarenlange historie van organisaties,” schrijft de groep in zijn rapport. “Dit is iets waar het in wezen niet voor is bedoeld. Tussen het mailverkeer zitten veel gevoelige gegevens, die je niet op straat wilt hebben liggen. Als het bij die data gaat om persoonsgegevens, dan is maar de vraag of dat wel legitiem is.”
Dat laatste heeft vooral te maken met dee Algemene verordening gegevensbescherming (AVG) die in mei 2018 van kracht werd. De wet verwacht dat persoonsgegevens worden verwijderd op het moment dat ze niet meer nodig zijn. Volgens de onderzoekers levert zo’n e-mailarchief nog een ander een groot risico. Wanneer de gebruiker op een verkeerde link klikt of op een andere manier met malware wordt geïnfecteerd, dan valt alle data in verkeerde handen.
Spam
Van de 3.100 relevante berichten uit het onderzoek zaten gevoelige zaken als processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, bestellingen (zelfs voor spionageapparatuur), vorderingen, departementaal vertrouwelijke stukken en meer.
Deze bevindingen lijken te kloppen met de cijfers van de Autoriteit Persoonsgegevens. Volgens hen is dit in 64% van de gevallen het grootste probleem. Uit de analyse wordt duidelijk dat er niet wordt nagedacht over mogelijke gevolgen van het gebruik van e-mail en de vraag of dit middel wel geschikt is voor gevoelige (persoons)gegevens.
Verder blijkt het regelgevend kader ook tekort te schieten. Het gebruik van versleuteling bij het digitaal transporteren van departementaal vertrouwelijke stukken is bijvoorbeeld niet verplicht. Het beeld dat uit het onderzoek komt, is dat bewustzijn rond de gevaren van e-mail laag is. Het medium is gemakkelijk en de beleving dat hier een bron van fouten ontstaat, lijkt absent.
