Mag een spamfilterdienst de beveiliging van e-mail afslopen?
05/11
2015
2015
Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?
Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.
Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde “adequaat” moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.
Wat is nu “adequaat” bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om “adequaat” te mogen heten.
E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.
De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?
Arnoud
Datum: donderdag 5 november 2015, 08:12
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Mogen persoonsgegevens per mail worden verstuurd? (05/12/14 08:10)
- Hoe kan ik nou inloggen op DigiD met sms zonder mobiele telefoon? (27/06/14 08:10)
- Waarom mag ik geen contactgegevens van klanten doormailen? (27/09/11 08:19)
- Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens? (08/11/16 08:13)
- Moet mijn contactformulier SSL-beveiligd zijn? (03/04/13 09:03)
Reacties:
Er zijn nog geen reacties op dit bericht.