Ben je opzoek naar encryptie voor jouw emails? Gewoon een email provider nemen die encryptie ondersteunt lijkt mij het meest gebruiksvriendelijk: tutanota en protonmail.

Anders in thunderbird addon "enigmail" installeren, wel moeten beide contacten het hebben geinstalleerd, sinds versie 2.0 is het gewoon install & forget.

Bijvoorbeeld (voor zover ik weet of meen te weten):

- Emailen mag, maar op verzoek van de klant per post versturen. (eerst vragen of het per email mag is wel zo netjes,
vaak in de vorm van: "Mogen wij misschien uw emailadres om uw factuur voortaan per email te kunnen sturen?"
- De klant (redelijk snel) kunnen berichten welke informatie over hem/haar in je systemen staat als klant daarom vraagt.
- Op aanvraag van de klant bepaalde informatie wissen. (en dat dus ook redelijk snel kunnen doen)
- Systemen goed beveiligen (ook emailservers) en vooral ook snel kunnen ingrijpen als het toch mis gaat.
- "Niet meer dan nodig" principe. Een emailadres is al verbonden aan een bepaalde persoon, dus bijv. "Beste mevrouw Jansen" in de aanhef is voldoende identificerend bij email, daar hoeft niet adres, postcode, geboortedatum, de naam van de hond en weet ik veel nog bij.

Hoe het eenvoudig, ik vermoed dat het om bijverdienste dan wel zzp gaat.
Je hebt de wettelijke verplichtingen. https://www.mkbservicedesk.nl/185/aan-welke-eisen-moet-factuur-voldoen.htm

Facturen op naam rekening cash pin met bon dan via achteraf verrekening is een ondernemerskeuze.
Je klanten benaderen via email mag natuurlijk maar je moet ervoor zorgen dat er geen gegevens zo maar naar anderen gaan (datalek) De AVG heeft het over passende maatregelen. Anoniem 22:26 noemt er een aantal. Het zelf beheren van email servers lijkt mij te ver gaan, mogelijk is er cloud software voor, wat googlen en er komt het nodige langs.
Ik heb er geen ervaring mee, een vergelijkend onderzoek naar die software zou handig zijn.

Met het noemen van verzorgtehuizen gaat er alarmpje af. https://www.zorgwijzer.nl/vergoeding/pedicure#vergoedingen Dan kom je in de zorg met alle regels van dien

Er is geen lijst technische eisen om aan de GDPR te voldoen. Er is ook geen checklist met informatie die je wel/niet mag verzamelen, verzenden etc. Het punt van de GDPR is dat je

1. Nadenkt over welke informatie je precies écht nodig hebt voor je dienstverlening (heb je bijv. als pedicure iemands geboortedatum nodig? ik kan me zo niet voorstellen waarom. e-mail adres? lijkt me zinnig om bijv afspraken te communiceren) en alleen die informatie te vragen / op te slaan.
2. die informatie alleen gebruikt voor het doel waarvoor het verzameld is, en ook niet langer bewaart dan nodig.
3. de gegevens die je dan dus wel écht nodig hebt zorgvuldig behandelt. Wie heeft er toegang toe (nodig), en welke maatregelen neem je om te zorgen dat anderen er geen toegang toe krijgen?

Dat laatste gedeelte over maatregelen zou een technisch karakter kunnen hebben, zoals versleuteling van de e-mail. Maar dit is dus niet iets waarvan je vooraf kunt zeggen dat het wel of niet moet, het is iets dat volgt uit de belangenoverweging die er aan vooraf gaat.

Al in de vorige eeuw maakte de wetgever en de voorloper van de toezichthouder duidelijk dat mailen van facturen niet zomaar mag. Dat veel ondernemers het toch zonder duidelijke toestemming doen is een van de redenen dat de nieuwe wetgeving er aan komt en veel strenger is in de verplichtingen die de ondernemer heeft.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-bij-gebruik-van-zakelijke-e-mail-%C2%A0

Als de ondernemer met persoonsgegevens werkt moet die vooraf duidelijk hebben welke gegevens met welke toestemming en voor welke doel op welke manier en met welke middelen verwerkt worden. Je komt er niet mee weg door privé en werk in je adresboek door elkaar te bewaren en niet duidelijk te hebben waarom je een factuur met persoonsgegevens per mail stuurt en waarom die gegevens dan met Gmail of Facebook gedeeld worden omdat je als ondernemer je mail daarmee verstuurt of je adressen daar naar geüpload hebt omdat de dienst gratis was of omdat de klant vast wel ergens een vinkje heeft gezet dat de gegevens voor alle doelen gebruikt mogen worden om diensten te leveren.

Mailen naar bedrijven moet in versleutelde vorm omdat van bedrijven verwacht kan worden dat ze weten hoe beveiligen werkt. Dat kan via transport encryptie, of door encryptie van de email zelf. Transport encryptie is zwak, want een kleine verandering (wijzigingen in MX records) kan al roet in het eten gooien, en een certificaat kan verlopen, als die er al is. De tweede manier, encryptie van email zelf, is in principe sterk.

Met GnuPG bijvoorbeeld. De ontvanger dient te kunnen decrypten. In de praktijk is de mens de zwakke factor. Er kan veel mis gaan. Veel implementaties zijn niet gebruikersvriendelijk.

Mailen naar particuliere klanten is problematisch. Je moet in ieder geval toestemming vragen; dat moet in principe geinformeerd, dat wil zeggen: de klant moet weten wat de risico's zijn. Ook al liggen die vooral aan zijn/haar kant (gmail, hotmail, etc.), ontvangende mail servers die geen transportencryptie gebruiken, mail clients die geen transportencryptie gebruiken.

Hoe dan ook, je moet verzenden vanaf een mail server die goede encryptie ondersteunt, gebruik een certificaat van een CA, stel DNS in voor verificatie van het domein en email (SPF/DKIM).

Verder ben ik het eens met "20:21 door Anoniem" en "22:26 door Anoniem". Maar ik zou geen buitenlandse providers gebruiken.

Zolang er geen echte standaard is voor de encryptie van emails en ieder provider en elk mailprogramma zo z'n eigen standaard heeft (als encryptie al mohgelijk is) komt er zo helemaal niets van terecht.

Want je hebt geen poot om op te staan als je encrypted verstuurde facturen niet betaald worden om de doodeenvoudige reden dat ze door de ontvanger niet geopend cq. gelezen kunnen worden. Je zult dan alsnog papieren facturen moeten sturen aan diegenen die de mails niet konden lezen. Of ga je je klanten verplichten diverse soorten encryptie programma's op z'n computer te zetten (als de betreffende versie al kan op bijv. een mobieltje). Dan lopen ze snel naar een ander waar de factuur 'gewoon' gestuurd wordt.

De in verhouding meest veilige manier is dat de gebruiker alleen een normale mail krijgt met het verzoek de factuur op te halen uit een beveiligde omgeving (met inlog). Zo doet bijv. Ziggo dat. Er staat in de mail alleen het totaalbedrag vermeld.

Het is trouwens een (slechte) gewoonte van veel grote organistaties om gewoon alles via (onbeveiligde) mail te sturen. Zo krijg ik mijn polis én de factuur van m'n ANWB reisverzekering gewoon per mail als pdf bijlage. Lekker makkelijk maar zeer onveilig. En dat terwijl ik ook een account met inlog bij de ANWB heb. Ze zouden kunnen volstaan met een bericht dat de documenten klaar staan om opgehaald te worden. Dat is veel veiliger. Het is weliswaar één factor inlog, maar toch altijd nog beter dan kale mail.

Het heeft er alles mee te maken dat het gehele mailsysteem uit het jaar 'nul' stamt en er weinig aan gedaan is om een nieuw (universeel) veilig systeem overeen te komen. Ieder gaat nu z'n eigen weg.

Het is heel simpel. Je moet er gewoon voor zorgen dat de mail veilig verstuurd wordt, dat je niet meer opslaat en verstuurt dan nodig is en dat je de gegevens verwijdert als je ze niet meer nodig hebt. Daarnaast hebben de betrokkenen (degene waar je de gegevens van opslaat) een aantal rechten zoals de gegevens laten verwijderen of wijzigen, maar waarschijnlijk zal ze daar weinig mee te maken krijgen.

Nope
de verwerking is gerechtvaardigd, de facturatie hoort daarbij. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#wanneer-mag-u-zich-baseren-op-de-grondslag-uitvoering-overeenkomst-6332 De facturen kennen verplichte bewaartermijnen die mag je niet eens meer verwijderen of aanpassen.
Daarna alle overbodige gegevens gewoon weglaten.
Je bent verplicht jou btw / kvk en boekhoudregistratie (factuurnummer) te geven een datum tere verificatie door de klant met het bedrag en wat voorwaarden/verwachtingen hebt het gehad. Voorkom dat je het naar een verkeerde persoon kan sturen, handmatige zonder koppeling aan een boekhouding krijg je een keer een foutje. Wat dan?

Als de complexiteit van een oplossing te hoog / te duur is voor een zzp pedicure dan is er iets mis.

Toevoeging:
*** Kies een email-provider BINNEN de EU.***
Dus bijv. geen Gmail of Microsoft mail.

(encrypted email niet nodig, bijna niemand doet dat, en het hoeft ook niet. Staat nergens dat dat zou moeten.
Iets anders is als je een website zou hebben waarop klanten persoonsgegevens (ook: emailadres is een persoonsgegeven)
invullen. Maar dat is zo te lezen hier niet aan de orde)

Fout, je kunt prima Gmail of Microsoft mail kiezen (of hosten op AWS) mits je een verwerkersovereenkomst afsluit die zegt dat de data binnen Europa blijft. Eigenlijk doen de genoemde partijen dat al, ze weten donders goed dat de hele GDPR is opgezet met hun in gedachten. Sowieso houden ze zich aan de Privacy Shield regels (niet dat ik dat een goede regeling vind...)

Indien het hier werkelijk om een pedicure gaat, kun je de kerstboompjes die secure mail genereerd dan wel verantwoorden?

Is het niet handiger de factuur zo minimalistisch mogelijk in te richten en het adres van de ontvanger met een testmail te verifiëren? We gaan er maar even vanuit dat je geen medische dossiers of contracten per mail hoeft te versturen want instellingen die dat over plain-tekst-mail doen moeten zich wel achter een oor krabben.

Data op grondgebied van de vs is eigendom van de vs, en je weet niet welke spelregels er morgen gelden voor die bedrijven.
Sowieso als je niet weet waar de emailserver staat, of waar de backup van die emailserver naar toe gaat kan je er beter niet aan beginnen. Dat laatste is helaas moeilijk te controleren en één vergissing en je data belandt gemakkelijk buiten het grondgebied van de Europese unie.

Dus op zijn minst heeft een emailserver op grondgebied van de Europese unie met een Europese provider die alleen servers in de Europese unie heeft en gebruikt de voorkeur, ook al is het waarschijnlijk niet verplicht.
Maar ik zou daar dus op letten als ik de keuze krijg of ik facturen per email wil krijgen. Je hebt sowieso de goodwill van de klant nodig om het per email te mogen versturen. Als de klant het op papier wil, moet je de facturen dus via de dure papieren weg versturen. Daarom dus,
zorg dat het met die email niet discutabel is, dan kan je meer mensen overhalen de faktuur per e-mail te ontvangen.

Ik vraag me trouwens af of een faktuur wel rechtsgeldig is als hij niet specifiek genoeg is is en er niet ook de compete NAW gegevens van de klant staan. (zie reactie 22:26 "niet meer dan nodig" enzovoorts)

Fout, dat kun jij wel vinden, maar de Amerikaanse overheid denkt daar heel anders over. Ze vinden volgens hun eigen wette dat ze het recht hebben om buitenlandse informatie op te vragen als er een Amerikaanse vestiging is.

Alsof een zelfstandige ondernemer dat kan regelen met zulke gegevensverwerkers als Gmail Google, of Outlook Microsoft.

Het is aan de zelfstandige ondernemer om vooraf zeker te weten dat een dienstverlener aan haar eisen voldoet. Gmail en Outlook Microsoft maken nog altijd gebruik van de data die je bij ze laat verwerken, waaronder kennis over adresboeken, welke adressen met elkaar communiceren enz. Misschien niet als je de een zakelijke overeenkomst met ze afsluit, maar bij die gratis diensten zit het verdienmodel in de gegevens van jou en je klanten en bekenden. Dat die bedrijven aan regels moeten voldoen om in Europa een bedrijf te runnen heeft niets te maken met zekerheid dat je als ondernemer je gegevens prima bij ze kan laten verwerken binnen de eisen waaraan de ondernemer moet voldoen. Particulieren die het niet erg vinden dat hun adresboek of contactgegevens gebruikt kunnen worden voor analyse, advertenties en doorverkopen van kenmerken over hun persoonlijke omgeving zijn in Europa nog steeds welkom. Standaard levert Gmail of Outlook geen bescherming die een ondernemer nodig heeft.

Nee voor de transactie wordt dat afgesproken. Wil je als ondernemer niet dat de betaling factuur volgens eis van de klant gaat dan kan die de transactie niet laten doorgaan.
Probeer eens een energieleveranciet jouw betaalwijze op te leggen, kansloos.
Het is een detail waar ik het oved heb. Verder een nette goede reactie.

Kunt u mij een verwijzing naar deze verplichting geven, bijvoorbeeld een wettekst?
Dit soort stellig gebrachte onjuistheden maken het alleen maar (nog) verwarrender.
Obv een risico analyse zou je tot een conclusie *kunnen komen* dat het te beschermen belang tot email versleuteling noopt. Niet dat dit verplicht is.
Topic starter zou zich eens in kunnen lezen op de website van de AP...

Leg maar uit waar de wet andere ruimte laat dan encryptie of niet verzenden als duidelijk is dat plain text communicatie over een publiek medium geen bescherming heeft tegen ongevraagd inzien of wijzigen door partijen die niets met die persoonsgegevens van doen hebben. Er staat in de wet niet dat je het risico mag nemen dat het wel goed gaat, er staat dat je de plicht hebt om de gegevens te beschermen tegen toegang door onbevoegden. Wanneer je gaat mailen en hoopt dat het wel goed gaat voldoe je niet aan de wet en geen verwerker kan hard maken dat die aan de wet voldoet als die geen encryptie toepast over een publiek netwerk. Je kan hooguit beargumenteren dat het vooraf is overeengekomen dat de communicatie van de persoonsgegevens communicatie over een onbeveiligd medium gaat. Maar ik moet de eerste verwerker nog tegen komen die bij zulke voorwaarden duidelijk maakt dat de verwerker zich bewust is dat mail geen beveiliging geeft van persoonsgegevens.

Als je vraag alleen over het mogen e-mailen gaat ivm met de avg.
Je kennis moet voor zichzelf bedenken wat de impact op de privacy 'beleving' van haar klanten is als een email bij een verkeerd persoon terecht komt. Als haar inschatting is dat het voor de privacy van haar klanten niet erg is dat een vreemde er achter komt in welk verzorgingshuis de persoon zit, en dat deze persoon klaarblijkelijk pedicure nodig heeft, dan moet zij dit vastleggen en concluderen dat voor deze behandeling, versturen van een factuur over email voldoende veiligheid biedt, en geen impact heeft op de privacy van haar klanten (gebruik geen gmail of andere gratis mail, dan zullen haar klanten mogelijk advertenties over pedicure gaan ontvangen vanwege het delen van de data met commerciele partijen).

Mocht ze inschatten dat dit wel als vervelend kan worden gevonden dan zal ze veiligheidsmaatregelen moeten treffen. Ik werk zelf met Zivver, een heel eenvoudig mail programma, wat je ook in outlook (op WindowsPC) als plugin kan gebruiken. Werkt top en makkelijk (ook voor niet teckies). De ontvanger hoeft geen account of zo te hebben en kan ook nog antwoorden op een mail. Al naar gelang hoe hoog ze de beveiliging wil opschroeven kan ze alleen een link sturen, of een link met een afgesproken wachtwoord, of een link laten sturen en een SMS met een code (geloof ik).
Ze zal in ieder geval vast moeten leggen waarom ze die beveiligingsmaatregel voldoende vindt, voor het geval dat een klant vragen heeft, of als het een keer fout gaat. Dat kan altijd, als je dan hebt vastgelegd dat je bedacht had dat deze oplossing veilig genoeg was, kan je in ieder geval aantonen dat je er over nagedacht hebt, en is de autoriteit minder 'boos'.

Voor de AVG zijn er overigens nog veel meer regels, formeel zal ze bij het aangaan van een contract met een klant ook aan moeten geven met wie de info gedeeld wordt en waarom. b.v. met het verzorgingstehuis en met haar accountant en de belastingdienst. Maar als ze de gegevens ook deelt met de lokale drogisterij met ze dat ook duidelijk aangeven. Dit mogen een paar regels in het contract zijn.

Als je het uit de context van een via email verstuurde factuur haalt (waarop naast NAW gegevens, mogelijk ook nog zaken staan als eksterogen en schimmelinfectiebehandelingen), dan maak je het inderdaad ingewikkelder dan nodig. De huidige praktijk sluit vaak niet aan bij de eisen die de wet (nu nog Wbp) stelt.

Persoonsgegevens moeten beschermd worden volgens de huidige en de nieuwe wet.

En vervolgens alle klanten vragen om over te stappen op encrypted email ? Of ze mails gaan sturen die ze niet kunnen decoderen ? Denk je dat mensen, voor de pedicure, dit gaan doen ? ;)

Dan spreek je dit tegen:
https://www.ondernemersplein.nl/regel/facturen-maken-en-bewaren:

En ook dit:
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/ondernemen/administratie/elektronisch_factureren/kan-klant-e-factuur-ontvangen:

Overigens ontvang ik van mijn energieleverancier de facturen nog keurig op papier.
Maar ik weet dat er ook energiebedrijven zijn die er een eigen willetje op nahouden.
Zoals "eens gegeven blijft gegeven", (namelijk je e-mailadres)
Wat als je je email wegdoet, en besluit geen e-mail meer te gebruiken.
Blijven ze dan nog steeds email versturen naar je oude email-adres? Dat zou wel zot zijn.

Anoniem 15:18 in je link staat uitdrukkelijk vooraf overleggen.
De aanbieder ondernemer kan dan zeggen dat de transactie niet doorgaat hij is niet verplicht de dienst te leveren.

Probeer het eens met een energieleveranciet. Geen incasso geen acceptgiro maar zelf vooraf betalen. Gaat niet er is er geen die jouw als klant met die eis accepteerd.

En ja het bestaat da ze mails naar verallen dienstverleners sturen en ook dat ze het naar andere rekeningen terugboeken.

Niet tot in het absurde maar tot wat in overeenstemming met de situatie is.
Beperkte gegevens bedrag rekeningnr's etc e
Dus niet alle details van de behandeling erbij gaan halen.

Iedereen kan ook zien naar wie die pedicure gaat. Verplaatst zich in openbare ruimtes.

Die details gaan in de zorg wel degelijk naar de verzekeraar. Financieel besparing vanuit de overheid als doel.

Karma4, je dwaalt van het onderwerp af.
Zelf vooraf een factuur betalen gaat via de bank. Niet via e-mail !
We hebben het daar ook niet over. We hebben het over het niet (of wel?) verplicht facturen per email ontvangen.
(ook wel e-factuur genoemd)

Energiebedrijven hebben meestal een app of een website waar je kan inloggen om in te stellen hoe je je facturen wil ontvangen, per post of per e-mail. (ze noemen factuur ook wel nota of rekening)

Factuurtje versus bijvoorbeeld de energieleveranciermails

Een energieleverancier verstuurt in de emailcorrespondentie veel meer dan wat in zo'n factuurtje staat.
Via twee mails te verkrijgen gegevens:

- Volledig Klantnummer (altijd)
- Volledig Contractrekening nummer (afhankelijk van onderwerp)
- Telwerknummers per aansluiting (afhankelijk van onderwerp)
- Volledige Naam (volledig in de onderwerpregel nog wel, met regelmaat)
- Volledig Adres (altijd)
- Volledig bankrekeningnummer (kan voorkomen)
- Opnamenummer (kan voorkomen)

Met het in bezit hebben van bovenstaande gegevens (en het weten van een geboortedatum van iemand, die trek je wel van social media) heb je voor de volle 100% garantie om telefonisch alles per telefoon te wijzigen bij die leverancier.

En niet alleen dat, uit dat gesprek trek je desgewenst met gemak nog wat extra account gegevens die die leverancier heeft/zou kunnen hebben.

Vervolgens heb je voldoende informatie om op de volgende plek aan de telefoon te hangen (you name it, succes gegarandeerd) , je hebt immers ruim voldoende gegevens om kansrijk door de standaard slappe telefonische controlevragen heen te komen.
Allemaal dankzij die energie leverancier die zeer scheutig is met het verzenden van informatie over email.

Dus waarom hier nou zo'n aftroef discussie op de millimeter plaatsvindt over het feit dat je iemand een factuur stuurt op naam en adres is een beetje raadselachtig.
Je geeft namelijk in die factuur het meeste over jezelf weg aan gegevens door de verplichtingen die je zelf hebt.

En ondertussen blijven anderen, de maandelijkse vaste lasten usual suspects jou emails sturen met onnodig veel te veel informatie.
Gebeurt al jaren en geen haan die er naar kraait.

Email is een goudmijn voor phishers en dat ligt niet zozeer aan dat enkele pedicure factuurtje maar eerder aan oa energieleveranciers (of mobile providers) die standaard bakken aan onnodige info over de mail komen.

Phishing begint met dat beetje basisinformatie, de rest krijg je via handige gesprekken met het callcenter wel, en dan verder ..

Dat raadsel is waar het topic over gaat: voldoen aan de AVG en de GDPR. Nieuwe strenge wetgeving over privacy. Dat half ondernemend Nederland al jaren persoonsgegevens verstuurt alsof het kadootjes zijn is een van de hoofdoorzaken van de strengere wetten. Voorstanders proberen hier een punt te maken door in detail te tonen wat er mis gaat. Tegenstanders zaaien verwarring door te doen alsof de wetgeving een excuus zijn om op de huidige manier door te gaan. Ik ben het met de voorstanders van de wet eens. Het gaat om details. Heel veel details is geen excuus om weer te doen alsof we het niet zo nauw hoeven te nemen met het verzenden van die gegevens. Het is juist de bedoeling dat je het heel nauw neemt. Maar daar zijn de tegenstanders niet zo van gediend want dat kost ze moeite en centjes. Liever lui dan moe met andermans gegevens.

Voor de helderheid: als jij als ondernemer als de wet in gaat en daarna niet op papier kan aantonen welke gegevens je verwerkt, welke gegevens daarvan persoonsgegevens zijn, hoe je die persoonsgegevens verwerkt en welke technische en organisatorische maatregelen je vooraf bedacht hebt en hebt doorgevoerd om de persoonsgegevens op zijn minst te beschermen gedurende communiceren, verwerken, aanpassen en verwijderen dan ben je wettelijk in overtreding en strafbaar. Laat dat heel goed doordringen aan iedereen die zijn zakelijke persoonsgegevens in welke vorm dan ook.

Of het nou een factuur is, of dat nou via mail gaat of dat je ze gratis op slaat in de cloud om 365 er lekker makkelijk mee te kunnnen gmailen, facebooken, whatsappen of je boekhouding, offertes, aantekeningen, rekeningen met die persoonsgegevens laat opslaan in welke cloud of usb-stikje dan ook. Jij bent als ondernemer volledig aansprakelijk voor het verwerken van die persoonsgegevens volgens de nieuwe wet en die wet eist bescherming wat je ook met die gegevens doet. En dat je de gegevens kan verwerken, om welk miniem detail van die gegevens ook gaat die je verwerkt, of dat je een recht hebt om digitaal te werken, dat ontslaat je nergens van de plicht om aan die eis te voldoen. Ook niet als je het nu anders doet en al jaren gewend bent om je privecontacten en zakelijkecontacten in een adresboek te bewaren op je zakelijke mobiel of laptop die je ook voor privedoel gebruikt en je die hele zwik ook al jaren constant deelt met facebook of google of je onbeveiligde hardeschijf en je onbeveiligde mail.

Ik wilde geen facturen per email of post gewoon jaarrekening en tussendoor automatisch zelf betalen.
Wat moet ik met een App en al die verplichtingen, niets.
Dat is wel het onderwerp hier.

Zeker toen gesteld werd dat een ondernemer ook een energiebedrijf dan de wens van de klant om zijn manier van afrekenen moet volgen.

Ik geef enkel aan dat die bewering niet klopt.
Ben je hetdaarmee eens?