Alles over veilig mailen in het (speciaal) basisonderwijs

5 excuses die van elke e-mail een potentieel datalek maken

Veel datalekken in het onderwijs ontstaan via e-mail, met mogelijk desastreuze gevolgen voor leerlingen, professionals en de betrokken organisaties. Dit pleit ervoor dat elke e-mail die je verzendt, elk bestand dat je deelt, veilig moet gebeuren. Er is echter een aantal hardnekkige misvattingen over e-mailbeveiliging.

Excuus 1. Interne e-mails hoeven niet beveiligd te zijn

Het delen van gevoelige data met een collega hoeft toch niet beveiligd te zijn? Mis. Regulerende instanties eisen dat e-mails met gevoelige informatie veilig worden verzonden. Dus zelfs als jouw collega zich in dezelfde kamer als jou bevindt, moet je nog steeds de juiste maatregelen nemen om e-mails met gevoelige gegevens die je deelt, te beschermen.

Excuus 2. Als de ontvanger de informatie zelf heeft opgevraagd, hoeft deze niet te worden beveiligd

Als een ouder, zorgverlener of overheidsinstantie zelf informatie opvraagt, zullen de door de onderwijsinstelling verstrekte gegevens waarschijnlijk gevoelige informatie bevatten. Denk aan de volledige naam en het adres van de betrokkene, gespreksverslagen en andere persoonlijke informatie.

Als deze gegevens in verkeerde handen vallen, weten ze veel over de beoogde ontvanger. Sommige organisaties zullen een waarschuwing in de correspondentie opnemen: “Let op, deze e-mail bevat ook persoonlijke gegevens”. Maar wat maakt het uit als de e-mail wordt onderschept?

De vraag is dus, kan een school de verantwoordelijkheid op zich nemen als de gegevens specifiek worden gevraagd door de beoogde ontvanger?

Het antwoord is ‘JA’. Alle gevoelige communicatie, opgevraagd of niet, moet door de school worden gecodeerd. En er moeten preventieve maatregelen worden genomen om ervoor te zorgen dat onbedoelde partijen geen toegang krijgen tot gegevens.

Excuus 3. Kleine bestanden hebben geen beveiliging nodig

De omvang van de data is vaak bepalend. Hoe groter het opgevraagde bestand, hoe groter de kans dat de gegevens veilig worden verzonden. Dit lijkt logisch; de grootte van het bestand weerspiegelt de omvang van het risico.

De voorschriften voor gegevensbescherming hebben echter geen betrekking op bestandsgroottes. Een datalek is een datalek, ook als er maar één persoon bij betrokken is. Verder staat de AVG belangenorganisaties toe om andere betrokken partijen te benaderen om een gezamenlijke rechtszaak aan te spannen.

Dat betekent dat als het bijvoorbeeld in het onderwijs bij de ene leerling misgaat, de kans groot is dat andere leerlingen – zonder het te weten – ook het slachtoffer zijn geworden.

Conclusie: elk bestand, ongeacht de grootte en hoeveelheid gevoelige gegevens, moet veilig worden verzonden.

Excuus 4. Ervan uitgaan dat de ontvanger veilig is

Gemeenten en andere partijen delen regelmatig informatie met de politie. Verrassend genoeg gebeurt dit ook via onbeveiligde e-mail, vaak omdat men ervan uitgaat dat de politie goede beveiligingsprocedures heeft. Voor andere partijen geldt hetzelfde uitgangspunt. Denk aan de onderwijsinstelling die aanneemt, dat een zorgverlener zijn beveiliging op orde heeft en daar naar handelt.

Wat de veiligheid betreft, is het echter nooit verstandig om er maar het beste van te hopen. Zelfs als jouw ontvanger extreem veilig is, kan een e-mail tijdens de verzending worden onderschept – daarom is codering zo belangrijk. En als automatisch invullen je teleurstelt (zoals het geneigd is te doen), kunt je de e-mail zelfs naar de verkeerde ontvanger sturen.

Excuus 5. De ontvanger wil niet al het extra gedoe

Laten we eerlijk zijn, niemand van ons wil leerlingen, ouders, leveranciers of andere belanghebbenden belasten met procedures om toegang te krijgen tot een e-mail. Het draait echter allemaal om evenwicht: zal jouw ontvanger gefrustreerd zijn, omdat hij een unieke 6-cijferige code moet invoeren om zijn identiteit te verifiëren of zullen ze het gewoon waarderen dat hun gegevens veilig zijn in jouw handen?

Het spreekt voor zich. En onthoud: Geen enkele regulerende instantie accepteert excuses als het misgaat. Denk daaraan bij de volgende keer dat je gevoelige gegevens wil verzenden en een van de bovenstaande excuses je te binnen schiet.