10 factoren om de juiste Veilig Mailen leverancier te kiezen

Twee collega's die tevreden zijn over Veilig Mailen op de laptop

Yvonne Hoogendoorn

11 maart 2024

Als je deze blog leest heb je waarschijnlijk al een goed idee wat veilig mailen is en dat het gebruikt wordt om privacygevoelige informatie per e-mail te verzenden naar je klanten, patiënten, collega’s of burgers. Maar bovenal om aan de eisen te voldoen die de Europese wetgeving, op het gebied van privacy en informatiebeveiliging, aan je stelt. Om de volgende stap te zetten in het vinden van een effectieve en veilige e-mailoplossing is een eerste stap: nadenken welke factoren van belang zijn bij het kiezen van een oplossing die optimaal aansluit bij de behoeften van jouw organisatie en daarna bij het selecteren van een geschikte leverancier. In deze blog lees je de factoren die onze klanten vaak in overweging nemen bij het selecteren van een veilig e-mail leverancier.

Maar eerst zijn er twee vragen die iedereen heeft voordat je over een product en leverancier gaat nadenken:

Moet ik een extra product kiezen boven op mijn gewone e-mailsoftware?

In de meeste gevallen levert je gewone e-mailproduct zoals bijvoorbeeld Microsoft 365 of Google Workplace een goede e-mailvoorziening met de nodige beveiliging. Dit is goed genoeg voor normale e-mails maar niet beveiligd genoeg voor het versturen van e-mails met vertrouwelijke informatie, zoals medische informatie, juridische informatie of privacygevoelige informatie. Als jouw bedrijf of organisatie regelmatig dit soort informatie verwerkt, is het noodzakelijk om extra maatregelen te nemen om de beveiliging van je e-mail te waarborgen en de privacy van je ontvangers te garanderen.

Zijn er specifieke Nederlandse eisen waar ik rekening mee moet houden?

In samenwerking met het Ministerie van VWS, diverse partijen uit de zorgsector en veilig e-mail leveranciers is in Nederland een norm opgesteld voor veilig e-mailen met medische informatie. Deze norm maakt het voor zorgverleners gemakkelijk om onderling veilig e-mails uit te wisselen (via interoperabiliteit), zonder iedere keer de e-mails te hoeven versleutelen. Daarmee wordt het ontvangen veel gemakkelijker. Wanneer je wil e-mailen naar mensen die zelf geen gebruik maken van een beveiligde e-mailoplossing, dan krijgt de ontvanger een versleutelde e-mail. Dit kun je zien als extra slotjes op de e-mail; dit is vaak een ophaalbericht in een portaal, maar kan sinds de nieuwste generatie ook na het bevestigen van een SMS-code rechtstreeks, zonder slotje in de inbox van de ontvanger.

In januari 2024 is de herziening van de norm voor veilig e-mailen in de zorg onder leiding van het Ministerie van VWS en de NEN gestart. Nederlandse organisaties die medische informatie verwerken zijn verplicht een gecertificeerd veilig e-mailproduct te gebruiken voor het versturen van informatie per e-mail. Daarnaast zie je dat de NTA 7516 ook vaak als eis wordt gebruikt bij het verzenden van juridische informatie, bijvoorbeeld door rechtbanken en advocaten.

Maar ook partijen zoals het Ministerie van Justitie en Veiligheid hebben gekozen voor veilige e-mailoplossingen die aan deze eisen voldoen. Daarnaast bieden veilige e-mailoplossingen ook een goed uitgangspunt voor organisaties om te (gaan) voldoen aan de Europese wetgeving, denk hierbij aan: NIS2, DORA, eIDAS(2) en de GDPR. Als uit het voorgaande blijkt dat je inderdaad een gecertificeerd NTA 7516-product nodig hebt, dan is het belangrijk om een zorgvuldig selectieproces voor Veilig Mailen te volgend. Je kiest namelijk voor een lange tijd voor een product én e-mailen doen al je medewerkers dagelijks, dus dat moet veilig, maar vooral ook gemakkelijk zijn. De meeste van onze klanten hebben tijdens hun selectieproces rekening gehouden met de volgende factoren.

De 10 factoren

1. Technische oplossing

Binnen veilig e-mailen zijn er verschillende technische oplossingen mogelijk. De eerste en meest bekende oplossing is met een portaal of private cloud. Hierbij kunnen klanten die deel uitmaken van deze oplossing gemakkelijk beveiligde berichten uitwisselen onderling. Echter, wanneer je met deze oplossingen berichten of e-mails wil uitwisselen met personen die geen gebruik maken van dezelfde oplossing, wordt de ontvanger geconfronteerd met een omslachtige ophaal procedure.

Uit onderzoek blijkt dat maar liefst 40% van deze berichten nooit worden gelezen. Een alternatieve oplossing is om alleen de gevoelige informatie in een beveiligde bijlage te versturen. Hiervoor moet je vaak buiten je eigen e-mailapplicatie een beveiligde bijlage versleutelen, waarna je de sleutel en bijlagen via een bepaalde oplossing naar de ontvanger stuurt. Deze oplossingen worden dan alleen voor specifieke bijlagen gebruikt en lang niet voor alle beveiligde informatie binnen een organisatie. Omdat deze manier van bijlageversleuteling extra handelingen van de gebruikers vraagt, wordt deze oplossing vaak te weinig toegepast. Dit kan leiden tot ongewenste en onbedoelde datalekken. De nieuwste generatie Veilig Mailen maken geen gebruik van een private cloud of portaal. In plaats daarvan functioneren ze als een digitale postbode die de beveiligde e-mail rechtstreeks in de mailbox van de ontvanger bezorgt. Hierdoor hoeven de verzender én ontvanger geen extra moeite te doen maar komt de e-mail op de verwachte plaats in hun e-mail omgeving. De extra versleuteling wordt elke 90 dagen afgehandeld middels een SMS bericht. Wil je meer weten over de verschillen lees dan onze blog over Waarom zou je voor de derde generatie Veilig Mailen kiezen?

Wie is je ontvanger?

Een belangrijke vraag die jij voor je eigen organisatie zou moeten beantwoorden is of de ontvangers dezelfde oplossing gebruiken of juist vaak zonder oplossing werken voor veilig e-mailen, zoals particuliere personen bijvoorbeeld patiënten, burgers of klanten. In dat geval is het verstandig om het gebruiksgemak van de ontvanger zwaar mee te laten wegen in je selectie.

2. Veiligheid

Bij de veiligheid van veilig e mailen spelen een aantal zaken een belangrijke rol. Is de manier van authenticatie voor verzender en ontvanger veilig geregeld? Hierbij speelt dat SMS toch eigenlijk wel het minimale niveau is wat nodig is. Ook is het mogelijk om gebruik te maken van andere multifactor middelen zoals de UZI-pas, Advocaten-pas, en DigiD. Authenticatie door middel van een wachtwoord via e-mail is niet genoeg.

Opslag

Naast de authenticatiemiddelen is het ook van belang waar de gegevens worden opgeslagen. Hiervoor is het belangrijk om gebruik te maken van een leverancier die opslag gegarandeerd binnen de Europese Unie doet. Hiermee vallen vooral Amerikaanse oplossingen buiten de overwegingen voor Nederlandse organisaties als mogelijke oplossingen.

Dataconcentratie?

Een ander aspect is: wat sla je op? Sommige oplossingen maken extra kopieën van alle e-mails en slaan deze op in hun private cloud, waardoor ze beschikbaar zijn voor zowel de verzender als de ontvanger. Het nadeel van deze aanpak is dat het leidt tot data concentratie, iets wat door de AVG-wetgeving wordt ontmoedigd. Gelukkig zijn er ook oplossingen die aan dataminimalisatie doen en enkel e-mails opslaan bij de verzender en de ontvanger zonder zelf een kopie beschikbaar te stellen.

Wie is verantwoordelijk?

Het laatste aspect dat bij veiligheid meespeelt is: wie maakt de keuze voor informatiebeveiliging? Moeten gebruikers dit doen tijdens het opstellen van de e-mail? Of geef je er juist de voorkeur aan dat dit centraal wordt geregeld door de specialisten binnen jouw organisatie. Dit is bepalend voor het kiezen voor een van volgende oplossingen. Een oplossing die veel gebruikersondersteuning aanbiedt en daarmee veel keuzes bij de verzender legt. Of dat je kiest voor een oplossing die alle e-mails beveiligd en op de achtergrond de juiste beslissingen neemt op basis van beleidsregels die jouw organisatie heeft vastgesteld voor het beveiligen van e-mailinformatie.

Uit onderzoek van Gartner blijkt dat oplossingen die gebruik maken van awareness bij gebruikers leiden tot veelvuldig ontwijken van beveiligingsoplossingen. Hierdoor zijn veilige e-mailproducten die veel keuzes aan de verzender overlaten per definitie een stuk ónveiliger dan e-mailoplossingen die alle beslissingen buiten het zicht van de verzender houden en op centraal niveau inrichten en daarmee ervoor zorgen dat alle e-mails altijd veilig verstuurd worden

Dus bij de veiligheid spelen de volgende overwegingen een rol :

  • Minimaal 2FA met SMS
  • Dataopslag binnen de EER
  • Dataminimalisatie waar mogelijk
  • Kiest de gebruiker of de organisatie voor beveiliging tijdens het mailen?

3. Gebruiksgemak

Gebruiksgemak is een van de belangrijkste onderdelen bij het kiezen voor Veilig Mailen. Voor de meeste medewerkers is e-mail een groot deel van hun dagelijkse werk. Dit moet dus gewoon lekker makkelijk zijn. Als je dagelijks wordt geconfronteerd met pop-ups, vragen en telefoontjes van ontvangers terwijl je eigenlijk gewoon een e-mail wil versturen, dan ben je niet met de juiste dingen bezig en dit veroorzaakt veel irritatie. Je ziet ook in organisaties waar dit niet goed is ingericht dat Veilig Mailen te weinig wordt gebruikt en dat er toch vaak gevoelige informatie onbeveiligd wordt verstuurd.

Naast het gebruiksgemak van de verzender is er natuurlijk ook het gebruiksgemak voor de ontvanger. Op het moment dat de relatie met je ontvanger belangrijk is voor jou als organisatie, dan is het heel vervelend als ze bij iedere e-mail die ze van jou ontvangen een diepe zucht slaken: “oh ja, dat beveiligde e-mailtje weer”. Dat betekent namelijk dat iedere communicatie die jij start een negatieve emotie oproept bij je ontvanger en dat staat eigenlijk haaks op alle moeite die je hebt gedaan om een goede klantrelatie op te bouwen.

Dus, als het belangrijk is dat jouw medewerkers of collega’s makkelijk e-mails kunnen versturen of als jouw ontvangers de e-mail gemakkelijk moeten kunnen openen, is het belangrijk om te kiezen voor een product met hoog gebruiksgemak. Let op: er zijn producten op de markt die actieve beslisondersteuning als gebruiksgemak definiëren. Door goed te onderzoeken of dit ook voor jouw organisatie echt zo is, voorkom je een verkeerde keuze.

 

4. Geïntegreerd in de e-mailomgeving

Bij het selecteren van een product is het goed om eerst na te gaan hoe de huidige werkomgeving eruitziet en of er voor binnenkort nog plannen op stapel staan.

Wat je wilt weten is: welke e-mailomgeving gebruik je? Is dit in de cloud? Werk je ook vaak vanaf andere locaties, zoals thuis of onderweg? Verstuur je e-mails ook vanaf je laptop, iPad en mobiele telefoon? Maak je gebruik van andere applicaties waaruit e-mails worden verzonden en ontvangen, zoals zaakdossiers, EPDS, CRM-systemen en klantcontactplatforms? Speelt Citrix, Azure, Cisco of MS Purview-DLP-oplossingen een rol in je infrastructuur? 

Zorg ervoor dat er een goede aansluiting mogelijk is op jouw specifieke omgeving om implementatieproblemen te voorkomen. Over het algemeen geldt dat als je zelf een weinig professionele ICT-omgeving hebt, dat je waarschijnlijk meer ondersteuning vanuit Veilig Mailen nodig hebt. Denk hierbij aan extra plug-ins en een aparte web omgeving waar je los op kunt inloggen. Als je zelf al een complexe professionele ICT-omgeving hebt, bijvoorbeeld met Citrix, DLP, Multi Factor authenticatie op de werkplek, Cloud werkplekken, hybride middelen (waaronder mobiele telefoons en thuiswerkplekken), dan is het vaak wenselijk om een flexibel product te kiezen dat volledig op de achtergrond aansluit op jouw professionele omgeving en veelal gebruik maakt van de informatiebeveiliging die al aanwezig is in je huidige omgeving. Je wilt dan plug-ins vermijden.

5. Certificeringen

De volgende certificeringen zijn relevant voor veilig e-mailen:

  • NTA 7516 compliant en tot mei 2022 gecertificeerd (vanaf eind 2024 zal hier hopelijk weer een NEN 7516 certificaat voor te krijgen zijn). Dit garandeert dat de leverancier medische en juridische informatie per e-mail of berichtenverkeer veilig kan uitwisselen met andere zorgverleners via de interoperabiliteit. 
  • eIDAS gecertificeerd, bijvoorbeeld QREMS (Qualified Registered Electronic Mail Service) of QERDS (Qualified Electronic Registered Delivery Service). Het verschil is aangetekende e-mails in de mailbox (QREMS) of een afhaalportaal (QERDS) waar je het aangetekende bericht ophaalt). De eIDAS regelt de voorwaarden waaronder vertrouwensdiensten zoals aangetekende e-mails vallen. Als je hiervoor gecertificeerd bent, dan heb je aangetoond dat de e-mail die jij verwerkt in heel Europa rechtsgeldig bewijs leveren en vertrouwelijk zijn verwerkt.
  • NEN 7510 of ISO 27001 gecertificeerd. Dit garandeert dat de informatiebeveiliging van de leverancier voldoende veilig is om zorginformatie (NEN 5710) of andere vertrouwelijke informatie (ISO 27001) te kunnen verwerken. Dit is ook een manier om aan de eisen van de  NIS2 te gaan voldoen.
  • ECSO Label: dit verklaard dat een leverancier volledig Europees is , zowel dataopslag, software ontwikkeling en de investeerders achter de onderneming zijn volledig binnen de EER. Zeg maar: Cybersecurity made in Europe.

6. Prijsniveau

Alle veilige e-mailproducten worden aangeboden op basis van abonnementen, waarbij de kosten worden bepaald door het aantal gebruikers of medewerkers, of het aantal verzonden berichten. Gangbare abonnementstermijnen zijn per maand, per jaar of per 3 jaar. De uitschieters in de prijzen worden veroorzaakt door het aanbieden van extra functionaliteiten; hanteren van alternatieve financieringsmodellen (bv. ziekenhuizen betalen voor huisartsen) of hoge kortingen om marktentree te krijgen. Lees hier de blog voor meer inzicht in de prijsdrijvers en de indirecte kosten, die invloed hebben op de prijs van veilig e-mailen.

7. Specialisatie

Er zijn veilig e-mail leveranciers die voornamelijk in de zorgsector of onder huisartsen en apothekers worden gebruikt. Als dit jouw werkveld is, kan het interessant zijn om een gespecialiseerde leverancier te overwegen. Andere leveranciers zijn actief in meerdere sectoren zoals, de lokale overheid, centrale overheid, juridische en zakelijke dienstverlening, financiën, verzekeraars. Sommige onderscheiden zich meer in geautomatiseerde API-koppelingen of natuurlijke personen e-mailen. Terwijl andere producten juist erg zichtbaar zijn voor de gebruiker en daarmee ook een bepaalde werkwijze afdwingen bij de gebruikers. Tot slot zijn er producten die zich onderscheiden door veel extra’s en actieve beslisondersteuning voor de gebruikers. Zelfs containerbegrippen als ‘AI’ en “machine learning” worden dan niet geschuwd. In hoeverre dit juist voor jouw organisatie een toegevoegde waarde heeft of vooral marketing is, is afhankelijk van je wensen en doelen. 

8. Implementatie

De implementatie van een veilig e-mailproduct in een complexe grote organisatie is omslachtiger dan in een kleine organisatie. Daarbij spelen de volgende zaken een rol:

  • Beschikbaarheid van technische ICT-kennis in de organisatie.
  • Zijn er gebruikerstrainingen nodig omdat de e-mail werkwijze gaat veranderen?
  • Is er een “doe het zelf” gids voor de NTA 7516 verklaring of word je begeleid door de leverancier?
  • Als er veel complexiteit in de werkplekomgeving is, dan kan het aansluiten van de plug-ins die sommige leveranciers aanbieden, een uitgebreid traject zijn. Het is goed om de ervaringen met implementatietrajecten op te vragen bij organisaties die je voor zijn gegaan.
  • Moet er met API’s worden aangesloten op backoffice systemen? Hierbij kan maatwerk nodig zijn.
  • Heeft de leverancier voldoende capaciteit om je te helpen en om kleine wijzigingen aan te brengen die eventueel nodig zijn voor jullie omgeving? Of staan er veel (technische) vacatures open? Onderzoek dan van tevoren of ze voldoende klantgericht kunnen handelen.

9. Investeerders

Inmiddels maken er al heel wat leveranciers onderdeel uit van een groter geheel. Vaak zijn dit externe financiers en partijen die voor een aantal jaar de organisatie sterk laten groeien en vervolgens weer verkoop klaar maken of voor een beursgang voor te bereiden om hun investering terug te verdienen. Het is belangrijk om je te verdiepen in de leverancier. Zijn alle investeerders wel Nederlands of Europees? Zo niet, dan kan er een conflict optreden met de EU-wetgeving voor privacy en dataveiligheid. Lees hier meer over het ECSO label.

Zijn de personen die de directie vormen nog wel inhoudelijk betrokken of zijn alle posities ingevuld door financieel gedreven investeerders? Dat laatste kan vragen oproepen over de mogelijkheden voor technische vernieuwing en bereidheid tot innovatie. Dit zijn allemaal signalen die van belang zijn om in te schatten of je een toekomst vaste oplossing kiest die met de nieuwste ontwikkelingen mee gaat of dat je een relatief oud product kiest dat (al jaren) wordt uitgemolken. 

Tot slot is het in het kader van maatschappelijk verantwoord ondernemen belangrijk om aandacht te besteden aan bij wie je jouw geld besteed. Koop vooral in bij ondernemers die een toegevoegde waarde leveren aan een betere toekomst. Let hierbij op duurzaamheid voor de planeet; diversiteit in de samenstelling van het team (bv. vrouwelijke eigenaar), invulling geven aan maatschappelijke rollen en goede doelen.

10. Exitplan

Als bonus factor om rekening mee te houden de exit plannen. Als je een leverancier selecteert wil je graag beginnen en denk je misschien nog niet aan beëindigen. Maar dat is wel belangrijk. Private Cloud oplossingen die jouw berichten in hun Cloud houden zijn lastig om bij weg te gaan. Dit komt door het volgende:

Als je een e-mailconversatie voert met een ontvanger, dan mail je heen en weer met elkaar over een bepaald onderwerp. Deze e-mailstroom staat dan niet gewoon in je eigen mailomgeving, maar in de externe mailomgeving van de oplossing die jij het gekozen. Om deze e-mailconversatie na beëindiging van je contract terug in je eigen email omgeving bij je gebruiker te zetten, is complex. Vaak is dit zelfs niet meer goed mogelijk. 

Een andere vendor lock-in die voorkomt is dat de gezamenlijke gebruikers van een private Cloud onderling wel goed berichten kunnen uitwisselen, maar niet iedereen voldoet aan de NTA 7516 eisen. Hierdoor vervalt de interoperabiliteit met je “oude” contacten na beëindiging van je contract. 

Gelukkig zijn er ook e-mail leveranciers die wel een goed exit plan hebben en je kan hier dus rekening mee houden voordat je een leverancier selecteert.

 Tot slot

De laatste stappen die je moet nemen voordat je een leverancier selecteert: 

  • Vraag referenties op en doe je huiswerk. 
  • Breng eerst in kaart welke specifieke wensen jouw organisatie heeft, waarbij je vooral ook rekening houdt met je eigen ICT-omgeving.
  •  Zorg ervoor dat je niet alleen voor de bekendste kiest, maar voor de leverancier die het beste bij je past.

Op zoek naar een NTA 7516 leverancier? Vraag de selectietool van de VNG aan! Heb je specifieke vragen over het kiezen van een veilig e-mailproduct? Onze experts staan voor je klaar. Wil je een vergelijking van beschikbare e-mailproducten? Vraag het leveranciersoverzicht aan. Ontdek de Top 3 leveranciers in onze blog!

Wij zijn bereikbaar op: info@secumailer.com en 0320-337381.

Lees verder

Waarom heeft SecuMailer het ECSO-label ontvangen?

Met trots delen wij dat wij het ECSO label in ontvangst hebben mogen nemen! Op 9 mei is deze door Security Delta (HSD) aan ons uitgereikt. Wat ECSO inhoud en waarom dit label aan ons is uitgereikt lees je in deze blog. Over ECSO De European Cybersecurity Organisation (ECSO) is verantwoordelijk voor het uitvoeren van…

Waarom zou je voor de derde generatie Veilig Mailen kiezen?

Herinner jij je nog die tijd toen we nog vol verwondering keken naar de vooruitgang van e-mail? Het voelde als een digitale revolutie – een nieuwe manier om gedachten en informatie over de hele wereld te laten vliegen in slechts een paar toetsaanslagen. Maar zoals elke technologische sprong voorwaarts, bracht deze innovatie ook risico’s met…