Samenvatting
E-mail is onmisbaar, maar van nature onveilig. Meer dan 90–95% van de datalekken via e-mail ontstaat door menselijke fouten: verkeerde geadresseerden, verkeerde bijlagen of ontbrekende beveiliging. De resterende risico’s komen van technische tekortkomingen, phishing, malware en externe factoren zoals de CLOUD Act.
Normen zoals BIO2, NEN 7510 en ISO 27001 verplichten organisaties om deze risico’s aantoonbaar te mitigeren. Dat vereist meer dan alleen encryptie: classificatie, DLP, phishingbescherming, interoperabiliteit en onafhankelijke assurance zijn essentieel.
Dat leveranciers nooit “leesbare toegang” tot data mogen hebben is een mythe: encryptie, classificatie en DLP vereisen altijd tijdelijke toegang tot data. End-to-end encryptie is in theorie veilig, maar in de praktijk onwerkbaar voor e-mail omdat interoperabiliteit, classificatie en forensisch onderzoek onmogelijk worden.
De oplossing ligt in een combinatie van assurance (audits, SOC 2, pentests) en techniek (zero-access encryptie, confidential computing, on-premise opties). Alleen zo kan veilig mailen écht voldoen aan de wettelijke kaders én de dagelijkse praktijk.
Inleiding
E-mail is de digitale ruggengraat van vrijwel elke organisatie. In de zorg, overheid en financiële sector is het hét kanaal voor communicatie met burgers, patiënten, partners en leveranciers. Maar e-mail is van oorsprong onveilig. Het is te vergelijken met een briefkaart: onderweg kan iedereen meelezen of zelfs de inhoud aanpassen.
Normen zoals BIO2, NEN 7510 en ISO 27001 verplichten organisaties om een risicoanalyse uit te voeren en reële risico’s passend te mitigeren – met de grootste risico’s eerst. Dat betekent dat je niet simpelweg een vinkje kunt zetten bij “encryptie” en klaar. Veilig mailen gaat over het systematisch wegnemen van de concrete risico’s van e-mail.
De risico’s van e-mail
Menselijke fouten
- Verkeerde persoon geadresseerd (autocomplete, typefouten).
- Verkeerde informatie of bijlage gestuurd.
- Ontvangers in Aan of CC gezet i.p.v. BCC.
- Niet het juiste label of classificatie geselecteerd.
- Niet de juiste beveiligingsopties ingeschakeld.
Feit: Uit cijfers van de Autoriteit Persoonsgegevens blijkt dat meer dan 90% van de datalekken via e-mail veroorzaakt wordt door menselijke fouten. Slechts een fractie komt door hacking of malware. In Nederland worden ieder jaar duizenden datalekken gemeld die terug te voeren zijn op verkeerd geadresseerde of onbedoeld verstuurde e-mails.
Technische en organisatorische tekortkomingen
- Geen of onvoldoende transportbeveiliging, waardoor berichten onderweg onderschept kunnen worden.
- Toegang tot mailboxen door zwakke wachtwoorden of ontbreken van multi-factor authenticatie.
- Beperkte integratie met systemen en processen, waardoor fouten of omzeilgedrag ontstaan.
Externe bedreigingen
- Phishing en malware die via de inbox binnenkomen.
- Supply chain-aanvallen of leveranciers die onjuist met data omgaan.
- Overheidsverzoeken, zoals via de Amerikaanse CLOUD Act, die ook Europese data kunnen raken.
Risico’s mitigeren: normatieve eisen
- Classificatie en labeling (§5.12): informatie indelen en zichtbaar maken zodat systemen passende maatregelen kunnen toepassen.
- Data Leak Prevention (DLP) (§8.12): maatregelen die voorkomen dat gevoelige informatie per ongeluk of onbedoeld uitlekt.
- Bescherming tegen phishing en malware (§8.7).
Wie dit niet implementeert, voldoet simpelweg niet aan de wettelijke kaders en loopt grote juridische en operationele risico’s.
De mythe van “nooit leesbare toegang”
Een vaak gehoorde claim is dat leveranciers nooit toegang mogen hebben tot data in leesbare vorm. Dat klinkt aantrekkelijk, maar is zowel technisch als normatief onjuist. Waarom leesbare toegang onvermijdelijk is:
- Encryptie: elke encryptiesoftware moet data tijdelijk leesbaar maken om deze te versleutelen of ontsleutelen.
- Classificatie: software moet de inhoud herkennen om het juiste beveiligingsniveau toe te passen.
- DLP: het detecteren van verkeerde ontvangers of bijlagen vereist analyse van de inhoud.
- Phishing/Malware-detectie: bedreigingen kunnen alleen worden herkend door mail en bijlagen te scannen.
- Interoperabiliteit: voor veilige aflevering bij andere systemen is tijdelijke leesbaarheid nodig.
Kortom: leesbare toegang is altijd nodig om de belangrijkste risico’s te mitigeren. De echte vraag is niet of dit gebeurt, maar hoe het proces veilig, gecontroleerd en aantoonbaar betrouwbaar wordt uitgevoerd.
End-to-end encryptie: technisch ideaal maar onwerkbaar
In theorie is end-to-end encryptie (E2EE) het veiligst. Alleen de verzender en ontvanger kunnen berichten lezen. Maar in de praktijk is dit bij e-mail onwerkbaar:
- Geen interoperabiliteit: alle partijen zouden dezelfde software moeten gebruiken.
- Geen classificatie en DLP: inhoud kan niet worden geanalyseerd.
- Geen forensisch onderzoek: organisaties missen zicht op incidenten.
- Operationele beperkingen: functies als logging, auditing of terugtrekken werken niet.
Daarom zijn protocollen als PGP en S/MIME nooit breed geadopteerd. De praktijk vraagt om modellen als zero-access encryption: bijna even veilig, maar wel interoperabel en compliant.
Wat wél nodig is: assurance én techniek
Omdat toegang tot data nooit volledig uit te sluiten is, moet je risico’s minimaliseren met een combinatie van assurances en techniek:
1. Assurances
- Onafhankelijke certificeringen zoals SOC 2 Type 2 en ISO 27001.
- Regelmatige externe penetratietests en audits.
- Volledige transparantie en de mogelijkheid voor klanten om zelf audits of code reviews uit te voeren.
2. Technische maatregelen
- Bescherming tegen de CLOUD Act: geen toegang voor leveranciers of derden tot versleutelde data.
- Confidential computing: processen worden geïsoleerd en afgeschermd.
- On-Premise of Private Cloud: volledige controle en toezicht door de organisatie zelf.
Belangrijk: ook on-premise moet je kiezen voor oplossingen met de juiste assurances. Anders introduceer je mogelijk een groter probleem (kwetsbare software) dan je probeert op te lossen.
Waar Zivver uniek in is
- Automatische classificatie en DLP: mitigatie van >95% van menselijke fouten.
- Volledige normondersteuning: BIO2, NEN 7510 en ISO 27001.
- Zero-access encryptie: geen toegang tot sleutels of data, ook niet voor Microsoft of Google.
- Assurance op topniveau: SOC 2 Type 2, jaarlijkse pentests, klant-audits toegestaan.
- Technologische voorsprong: confidential computing en bewezen zero-access model.
- Flexibele deployment: private cloud of volledig on-premise via Kiteworks.
- Brede functionaliteit: veilig mailen, bestanden delen, formulieren, MFT en veilig samenwerken.
Conclusie: snap de risico’s, snap de dienst
“Veilig mailen” is geen marketingterm of losse feature. Het is een normatief en technisch concept: het aantoonbaar mitigeren van de concrete risico’s van e-mail.
Wie denkt dat dit kan zonder classificatie, zonder DLP of met loze claims als “nooit leesbare toegang”, mist de kern. En wie vertrouwt op end-to-end encryptie zonder interoperabiliteit, kan zijn e-mail beter helemaal uitzetten.
Echte veiligheid bereik je door risico’s in kaart te brengen, passende maatregelen te nemen en alleen te vertrouwen op oplossingen die assurance én techniek combineren. Alleen dan voldoe je aan BIO2, NEN 7510 en ISO 27001. Alleen dan is mailen écht veilig.