Privacy - Wat niemand over je mag weten

Privacy & e-mail

19-10-2015, 16:59 door SecOff, 3 reacties
Ik wil klanten nadat ze telefonisch contact hebben opgenomen om een afspraak te maken, als ze dat willen een e-mail sturen met gegevens over de afspraak. Deze gegevens en de het feit dat men de afspraak heeft zijn privacy gevoelig.

Ik zal de klanten er in het telefoongesprek op wijzen dat er risico's aan de communicatie per e-mail zitten en vragen of ze dat risico accepteren. Willen ze dat niet dan krijgen ze de afspraak gegevens per post.

Is dit vanuit privacy wetgeving voldoende?
Reacties (3)
19-10-2015, 17:48 door Anoniem
Om het helemaal netjes te doen:

* telefonisch gegevens verzamelen en vragen om toestemming om verzamelde gegevens te versturen (per post zou ik persoonlijk niet aanbieden tenzij je een doelgroep bedient die daar erg op gesteld is, i.e. ouderen of artsen)
* gegevens versturen via een SSL/TLS beveiligde verbinding van je mail (bv https als je gmail gebruikt, of de ssl instelling gebruiken bij desktop client
* in de bevestigingsemail nog eens aangeven waarom men de email ontvangt, en op welke manier men het wettelijke inzage en verbeterrecht kan uitoefenen (bv jouw een email sturen) of aangeven dat men via mail kan vragen de verwerking stop te zetten
* gegevens enkel gebruiken voor de doeleinden die je aan de klant hebt verteld
* de emailadressen ook lokaal goed bewaren (bv geencrypteerde harde schijf, of voldoende beveiligde software)

Komt neer op de volgende basisprincipes:

* doeleinde: altijd een duidelijk doeleinde voor de verwerking
* proportionaliteit: gebruik enkel die gegevens die je nodig hebt voor je doeleinde
* transparantie: informeer je klanten juist en tijdig, en bewaar de gegevens niet langer dan nodig is
* beveiliging: verwerk de gegevens op een veilige manier, oftewel met gepaste technische en organisatorische maatregelen
19-10-2015, 20:54 door Rolfieo
Door SecOff: Ik wil klanten nadat ze telefonisch contact hebben opgenomen om een afspraak te maken, als ze dat willen een e-mail sturen met gegevens over de afspraak. Deze gegevens en de het feit dat men de afspraak heeft zijn privacy gevoelig.

Ik zal de klanten er in het telefoongesprek op wijzen dat er risico's aan de communicatie per e-mail zitten en vragen of ze dat risico accepteren. Willen ze dat niet dan krijgen ze de afspraak gegevens per post.

Is dit vanuit privacy wetgeving voldoende?

Het hangt er een beetje vanaf, in wat voor een bedrijftak je bedrijf zit. Maar een afspraak moet gewoon kunnen.
Privacy per Email kan ook beter zijn. Bv als het geheim moet blijven het gezin dan is de gewone post weer een stuk minder geschikt. En ook geen garantie dat het (goed) aankomt.

Persoonlijk heb ik de meeste informatie liever per Email werkt een stuk sneller en gemakkelijker.
19-10-2015, 22:35 door Anoniem
Nog meer tips :


1) Stuur gevoelige tekst info als afbeelding
- tekst omgezet naar een bijgevoegde afbeelding
- een pdf bijlage waarvan de inner text is omgezet naar afbeelding

2) Anonimiseer bestandsnamen
- bijlage pdf-document of embedded afbeelding voorzien van een nietszeggende naam

3) Onderwerpregel !
- de inhoud van de ingevulde onderwerpregel zo algemeen als mogelijk houden

4) Info balans verdelen
- de begeleidende tekst in je email zo algemeen als mogelijk houden en in algemene zin verwijzen naar de bijlage (als afgesproken ... ) maar wel zo concreet dat het voor de ontvanger duidelijk is dat het niet om spam of phishing gaat.
Een persoonlijke aanhef en bijvoorbeeld een datum of tijd van contact kan mogelijk geen kwaad te noemen

5) 'No' Metadata!
Strip de (ongewenste) metadata uit je documenten.
Met name met pdf's wordt dat veel vergeten.


Emailboxen zijn gouden phisvis-vijvers
Informatie blijft namelijk meestal erg lang in niet opgeschoonde emailboxen zitten en is daarom een interessante bron om in te vissen naar (te scannen op) informatie.
Mailboxen worden nog wel eens (regelmatig) gecompromitteerd doordat het password voor toegang ontfutseld wordt of door malware op het systeem van de mailbox zelf.

Met gebruik van tekst omgezet naar een afbeelding is de informatie van waarde alweer minder makkelijk te scannen op trefwoorden rondom aanwezige gevoelige informatie.
Niet dat het niet kan, afbeeldingen scannen op tekst, toch is dat alweer een stap hoger op de (misbruik scan) ladder en daarmee een eenvoudige positieve security verhogende drempel die je zelf kunt aanleggen.

Nadeel is er ook, jij of je klanten kunnen ook minder makkelijk zoek op de info in de afbeeldingen.
Elk voordeel heb ook ze nadeel.

Ga voor het voordeel met deze paar simpele stappen om een deel van mogelijk misbruik al (voorlopig dan) een stuk te verkleinen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.