E-mail is voor veel organisaties een vanzelfsprekend communicatiemiddel. Toch brengt het gebruik van e-mail bij het delen van persoonsgegevens en vertrouwelijke informatie juridische risico’s met zich mee. In bepaalde situaties kan dit leiden tot handhavend optreden onder de Algemene Verordening Gegevensbescherming (AVG), waaronder in ernstige gevallen een bestuurlijke boete.
De kernvraag is daarbij niet of e-mail werkt, maar of het gebruik ervan passend, veilig en controleerbaar is ingericht.
Wat zegt de AVG over e-mailgebruik?
De AVG verplicht organisaties om persoonsgegevens te beschermen met passende technische en organisatorische maatregelen (artikel 32 AVG). Het versturen van persoonsgegevens via e-mail valt onder deze verplichting.
Wat als passend wordt gezien, hangt af van de context en het risico voor betrokkenen. Hoe gevoeliger de informatie, hoe zwaarder de beveiligingseisen die redelijkerwijs verwacht mogen worden.
Het versturen van een afspraakbevestiging vraagt om een andere afweging dan het delen van medische gegevens of financiële informatie.
Organisaties moeten kunnen onderbouwen waarom hun gekozen manier van verzenden in die specifieke situatie voldoende bescherming biedt.
Wanneer ontstaat risico op handhaving of een boete?
Het risico op een AVG-boete ontstaat niet door het gebruik van e-mail op zichzelf, maar door het ontbreken van passende technische en organisatorische maatregelen.
Wanneer persoonsgegevens verloren raken, onbedoeld worden gewijzigd, vernietigd of toegankelijk worden voor onbevoegden, kan sprake zijn van een datalek.
In de praktijk gebeurt dat vaak bij ogenschijnlijk kleine fouten, zoals:
- Een verkeerd ingevoerd e-mailadres;
- Een bestand dat zonder aanvullende beveiligingsmaatregelen wordt verstuurd;
- Een downloadlink die langer actief blijft dan noodzakelijk.
Wanneer een organisatie in dergelijke situaties niet kan aantonen dat zij passende maatregelen heeft genomen, kan dit aanleiding geven tot onderzoek of handhavend optreden door de Autoriteit Persoonsgegevens. Of dit daadwerkelijk leidt tot een boete, hangt af van de ernst van het incident, de omstandigheden van het geval en de mate van verwijtbaarheid.
Het belang van aantoonbare beveiliging
Een belangrijk principe binnen de AVG is accountability: organisaties moeten kunnen aantonen dat zij voldoen aan de geldende privacyregels.
Het is niet voldoende om alleen beveiligingsmaatregelen toe te passen; organisaties moeten ook kunnen onderbouwen dat deze maatregelen passend zijn bij het risico van de verwerking.
Dit betekent dat organisaties inzicht moeten hebben in hoe informatie wordt gedeeld en welke maatregelen zijn ingericht om ongeautoriseerde toegang te beperken. Zonder passende logging, toegangscontrole en duidelijke bewaartermijnen kan het lastiger zijn om achteraf aan te tonen dat zorgvuldig en conform de AVG is gehandeld.
In ons artikel Wanneer is e-mail juridisch veiligverzonden? lees je hoe dit juridisch wordt beoordeeld.
Waarom standaard e-mail niet automatisch voldoende is
Standaard e-mail biedt basisbeveiliging, zoals transportversleuteling. Dit beschermt de inhoud tijdens verzending tussen mailservers, maar biedt op zichzelf geen volledige controle over toegang, beschikbaarheid of verdere verspreiding van bestanden.
Een e-mail kan bijvoorbeeld correct worden verzonden, maar alsnog bij de verkeerde ontvanger terechtkomen. Ook is er zonder aanvullende maatregelen vaak beperkt inzicht in wie een bestand daadwerkelijk opent of hoelang een document beschikbaar blijft.
Voor organisaties die werken met gevoelige persoonsgegevens kan aanvullende inrichting noodzakelijk zijn om passende technische en organisatorische maatregelen te kunnen onderbouwen.
Meer hierover lees je in ons artikel Waaromstandaard Outlook-beveiliging niet voldoende is.
De rol van datalekken en meldplicht
Het risico op handhaving wordt concreet wanneer een datalek ontstaat dat risico’s oplevert voor de rechten en vrijheden van betrokkenen.
In dat geval kan een organisatie verplicht zijn het incidentte melden bij de Autoriteit Persoonsgegevens (artikel 33 AVG) en, in bepaalde situaties, ook aan de betrokkenen zelf (artikel 34 AVG).
Of een boete volgt, hangt af van factoren zoals:
- De ernst en omvang van het incident
- De aard en gevoeligheid van de betrokken gegevens
- De getroffen technische en organisatorischemaatregelen
- De snelheid en zorgvuldigheid van de reactie van de organisatie.
Naast mogelijke sancties speelt reputatieschade vaak een minstens zo grote rol. Het vertrouwen van klanten en partners kan snel afnemen wanneer blijkt dat informatie niet adequaat is beschermd.
Hoe organisaties AVG-risico’s bij e-mail beperken
Organisaties die AVG-risico’s willen beperken, kijken verder dan alleen het verzenden van een e-mail. Zij richten het volledige proces rondom bestandsoverdracht in, met aandacht voor controle, beveiliging en aantoonbaarheid.
Dit betekent dat organisaties niet alleen nadenken over versleuteling, maar ook over:
- Wie toegang krijgt tot informatie
- Hoelang informatie beschikbaar blijft
- Of toegang achteraf kan worden ingetrokken
- Of beveiligingsmaatregelen aantoonbaar zijningericht en toegepast.
Door deze elementen structureel te organiseren, wordt e-mailgebruik minder afhankelijk van individuele keuzes en beter beheersbaar. Dit draagt bij aan een risicogebaseerde en aantoonbare invulling van de beveiligingsverplichtingen onder de AVG.
In ons artikel Hoe voorkom je datalekken bij bestandsoverdracht? lees je hoe organisaties dit in de praktijk aanpakken.
Hoe organisaties dit veilig en controleerbaar oplossen
Organisaties die het risico op AVG-handhaving willen verkleinen, kiezen vaak voor een oplossing die extra controle toevoegt aan hun bestaande werkomgeving. Niet door e-mail te vervangen, maar door het proces rondom verzending beter te beheersen.
Met FileCap voeg je een aanvullende beveiligingslaag toe aan Outlook of Microsoft 365. Bestanden worden beschermd tijdens verzending, ontvangers kunnen worden geverifieerd en je kunt instellen hoelang informatie beschikbaar blijft. Daarnaast wordt data opgeslagen binnen de EU via een Europese cloudprovider.
Dat ondersteunt organisaties bij:
- Controle over toegang tot bestanden
- Bescherming van inhoud tijdens verzending
- Logging ter ondersteuning van aantoonbaarheid
- Instelbare beschikbaarheidsduur van informatie
Hierdoor wordt e-mailgebruik beter beheersbaar en kunnen organisaties beter onderbouwen dat passende technische en organisatorische maatregelen zijn ingericht.
Meer over hoe dit werkt lees je op onze productpagina.
Conclusie
Het risico op een AVG-boete ontstaat niet door het gebruik van e-mail op zichzelf, maar door het ontbreken van passende en aantoonbare technische en organisatorische maatregelen.
Met name bij het versturen van gevoelige persoonsgegevens is het belangrijk dat organisaties kunnen onderbouwen hoe gegevens worden beschermd en welke maatregelen zijn getroffen om risico’s te beperken.
Door e-mailgebruik structureel en risicogebaseerd in terichten, verklein je de kans op datalekken en mogelijke handhaving aanzienlijk.
Met FileCap voeg je extra controle toe aan je bestaande werkomgeving, zodat e-mailgebruik beter aansluit op de eisen van de AVG en organisaties hun beveiligingsmaatregelen aantoonbaar kunnen ondersteunen.
Wil je weten hoe jouw organisatie AVG-risico’s bij e-mailgebruik kan beperken? Vraag een demo aan of probeer FileCap 30 dagen gratis.
Veelgestelde vragen
Wanneer krijg je een AVG-boete bij e-mailgebruik?
Een AVG-boete kan volgen wanneer een organisatie onvoldoendepassende technische en organisatorische maatregelen heeft genomen en hierdoorpersoonsgegevens worden blootgesteld aan ongeoorloofde toegang, verlies ofonrechtmatige verwerking. Of daadwerkelijk een boete wordt opgelegd, hangt afvan de omstandigheden, de ernst van het incident en de mate vanverwijtbaarheid.
Is e-mail versturen van persoonsgegevens toegestaan?
Ja, mits passende technische en organisatorische maatregelenzijn genomen om persoonsgegevens te beschermen. Organisaties moeten persituatie beoordelen of e-mail een passend middel is en dit kunnen onderbouwenop basis van een risicogebaseerde afweging.
Hoe voorkom je AVG-risico’s bij e-mail?
AVG-risico’s bij e-mailgebruik kunnen worden verkleind doorhet proces structureel en risicogebaseerd in te richten. Denk aan verificatievan ontvangers, inzicht in toegang tot verzonden informatie, passendeorganisatorische maatregelen en het aantoonbaar toepassen vanbeveiligingsmaatregelen.
