E-mail is voor veel organisaties de standaard manier om documenten te versturen. Contracten, persoonsgegevens, rapportages of medische informatie worden dagelijks via e-mail gedeeld. Toch betekent het versturen vaneen bericht niet automatisch dat de verzending juridisch als passend beveiligd kan worden beschouwd.
Vanuit juridisch en privacyrechtelijk perspectief draait het niet alleen om het verzenden van informatie, maar vooral om het toepassen van passende beveiligingsmaatregelen en het kunnen aantonen van controle over de toegang tot die informatie.
Wat betekent juridisch veilig verzenden?
Een e-mail kan als juridisch zorgvuldig verzonden worden beschouwd wanneer een organisatie kan aantonen dat passende technische en organisatorische maatregelen zijn genomen om vertrouwelijke informatie te beschermen tegen ongeautoriseerde toegang.
Dit uitgangspunt volgt uit privacywetgeving zoals de AVG, waarin het accountability-principe centraal staat. Organisaties moeten kunnen onderbouwen dat zij risico’s hebben beoordeeld en passende beveiligingsmaatregelen hebben getroffen.
Het gaat daarbij niet alleen om techniek, maar ook om documentatie, beleid en consistente toepassing daarvan in de praktijk. Wanneer deze onderbouwing ontbreekt, kan de verzending juridisch kwetsbaar worden, bijvoorbeeld bij een klacht of een onderzoek door een toezichthouder.
Wat zegt de AVG over het verzenden van informatie?
De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen (artikel 32 AVG). Het versturen van een document via e-mail valtonder deze verwerking. Wat als passend wordt beschouwd, hangt onder meer af van:
· De aard van de gegevens;
· De gevoeligheid van de informatie;
· De omvang en context van de verwerking;
· De mogelijke risico’s en gevolgen voorbetrokkenen.
Wanneer bijvoorbeeld medische gegevens, financiële informatie of contractdocumenten worden verstuurd, kan een hoger beveiligingsniveau gerechtvaardigd zijn dan bij reguliere communicatie.
Organisaties moeten daarom niet alleen beoordelen of e-mail technisch mogelijk is, maar ook of de gekozen verzendmethode proportioneel en risicogebaseerd is ingericht, in lijn met de aard en het risico van de verwerking.
Wanneer ontstaat juridisch risico bij e-mail?
Juridische risico’s ontstaan vooral wanneer onvoldoende controle bestaat over toegang tot verzonden informatie.
Dat kan bijvoorbeeld gebeuren wanneer:
· Een e-mail naar een verkeerd adres wordt gestuurd;
· Een bijlage zonder aanvullendebeveiligingsmaatregelen wordt verzonden;
· Downloadlinks langer actief blijven dan noodzakelijk;
· Niet kan worden aangetoond welke maatregelenzijn genomen om toegang te beperken.
Wanneer persoonsgegevens hierdoor verloren raken, onbedoeldworden gewijzigd of toegankelijk worden voor onbevoegden, kan sprake zijn vaneen datalek.
In dat geval kan een organisatie verplicht zijn om het datalek te melden bij de Autoriteit Persoonsgegevens, afhankelijk van het risico voor de rechten en vrijheden van betrokkenen.
Het belang van aantoonbaarheid
Een belangrijk juridisch aspect van veilige e-mail isaantoonbaarheid. De AVG vereist dat organisaties kunnen aantonen dat zijpassende technische en organisatorische maatregelen hebben getroffen ompersoonsgegevens te beschermen.
Dit kan bijvoorbeeld bestaan uit:
· Versleuteling van inhoud;
· Verificatie van ontvangers;
· Beleid en procedures rondom verzending;
· Logging, voor zover dit passend is bij hetrisico en de aard van de verwerking.
Wanneer dergelijke maatregelen ontbreken of niet consistentzijn ingericht en toegepast, kan het lastiger worden om te onderbouwen dat deverzending zorgvuldig heeft plaatsgevonden.
Voor organisaties in gereguleerde sectoren, zoals de zorg, kunnen aanvullende normen (bijvoorbeeld NEN 7510 en NTA 7516) specifieke eisenstellen aan de inrichting, documentatie en aantoonbaarheid vanbeveiligingsmaatregelen.
E-mail versus gecontroleerde overdracht
Standaard e-mail is primair ontworpen voor communicatie ensnelheid. Juridisch zorgvuldige verzending vraagt echter om controle overtoegang tot informatie en de beschikbaarheid daarvan.
Dat betekent dat organisaties moeten kunnen bepalen:
· Wie toegang krijgt tot een document;
· Hoelang een bestand beschikbaar blijft;
· Onder welke voorwaarden het kan worden geopend.
Deze elementen stellen organisaties beter in staat ominvulling te geven aan het principe van passende technische en organisatorischemaatregelen, zoals vereist onder de AVG.
Hoe organisaties juridisch zorgvuldige e-mail inrichten
Organisaties die vertrouwelijke documenten versturen kiezen er vaak voor om hun bestaande e-mailomgeving uit te breiden met aanvullende beveiligingsmaatregelen. Zo blijft de werkwijze voor medewerkers herkenbaar, terwijl het proces rondom verzending beter wordt beheerst.
Met FileCap voeg je een aanvullende beveiligingslaag toe aan Outlook of Microsoft 365. Bestanden worden beschermd tijdens verzending, ontvangers kunnen worden geverifieerd en je kunt instellen hoe lang een document beschikbaar blijft. Daarnaast wordt data opgeslagen binnen de EU via een Europese cloudprovider.
Dit ondersteunt organisaties bij:
· Controle over toegang tot bestanden;
· Bescherming van inhoud tijdens verzending;
· Logging ter ondersteuning van aantoonbaarheid;
· Integratie binnen de bestaande mailomgeving.
Hiermee kunnen organisaties beter onderbouwen dat informatiezorgvuldig en gecontroleerd is verzonden, in lijn met toepasselijke wet- en regelgeving en interne richtlijnen.
Meer over hoe dit werkt lees je op onze productpagina.
Conclusie
Een e-mail kan juridisch zorgvuldig zijn verzonden wanneer een organisatie kan aantonen dat passende technische en organisatorische maatregelen zijn genomen om vertrouwelijke informatie te beschermen. Het gaat daarbij niet alleen om verzending, maar ook om risicobeoordeling, controle over toegang en aantoonbaarheid.
Voor organisaties die werken met persoonsgegevens of vertrouwelijke documenten is het belangrijk om verder te kijken dan standaard e-mailinstellingen. Door veilige overdracht structureel en risicogebaseerd in te richten, verklein je het risico op datalekken en mogelijke juridische gevolgen.
Met FileCap voeg je een aanvullende beveiligingslaag toe aan je bestaande e-mailomgeving, zodat bestanden gecontroleerd en aantoonbaar zorgvuldig kunnen worden verzonden. Dit ondersteunt organisaties bij het beter naleven van wet- en regelgeving en interne richtlijnen.
Wil je weten hoe juridisch veilige e-mail binnen jouworganisatie kan worden ingericht?
Vraag een demo aan of probeer FileCap 30 dagen gratis.
Veelgestelde vragen
Wanneer is een e-mail juridisch veilig verzonden?
Een e-mail kan als juridisch zorgvuldig worden beschouwd wanneer passende technische en organisatorische maatregelen zijn genomen en de organisatie kan aantonen dat risico’s zijn beoordeeld en adequaat zijn beheerst.
Is versleuteling verplicht bij het versturen van persoonsgegevens?
De AVG schrijft geen specifieke techniek voor. Versleuteling wordt in veel situaties beschouwd als een passende maatregel, met name bij gevoelige persoonsgegevens. Of versleuteling vereist is, hangt af van de aard van de gegevens, de context van de verwerking en de bijbehorende risico’s.
Wanneer kan een e-mail leiden tot een datalek?
Een e-mail kan leiden tot een datalek wanneerpersoonsgegevens verloren raken, onbedoeld worden gewijzigd of toegankelijk worden voor onbevoegden, bijvoorbeeld door verkeerde adressering of onvoldoende beveiligingsmaatregelen.
