Als je deze blog leest heb je waarschijnlijk al een goed idee wat veilig mailen is en dat het gebruikt wordt om privacygevoelige informatie per e-mail te verzenden naar je klanten, patiënten, collega’s of burgers. Maar bovenal om aan de eisen te voldoen die de Europese wetgeving, op het gebied van privacy en informatiebeveiliging, aan je stelt. Om de volgende stap te zetten in het vinden van een effectieve en veilige e-mailoplossing is een eerste stap: nadenken welke factoren van belang zijn bij het kiezen van een oplossing die optimaal aansluit bij de behoeften van jouw organisatie en daarna bij het selecteren van een geschikte leverancier. In deze blog lees je de factoren die onze klanten vaak in overweging nemen bij het selecteren van een veilig e-mail leverancier.
Maar eerst zijn er twee vragen die iedereen heeft voordat je over een product en leverancier gaat nadenken:
In de meeste gevallen levert je gewone e-mailproduct zoals bijvoorbeeld Microsoft 365 of Google Workplace een goede e-mailvoorziening met de nodige beveiliging. Dit is goed genoeg voor normale e-mails maar niet beveiligd genoeg voor het versturen van e-mails met vertrouwelijke informatie, zoals medische informatie, juridische informatie of privacygevoelige informatie. Als jouw bedrijf of organisatie regelmatig dit soort informatie verwerkt, is het noodzakelijk om extra maatregelen te nemen om de beveiliging van je e-mail te waarborgen en de privacy van je ontvangers te garanderen.
In samenwerking met het Ministerie van VWS, diverse partijen uit de zorgsector en veilig e-mail leveranciers is in Nederland een norm opgesteld voor veilig e-mailen met medische informatie. Deze norm maakt het voor zorgverleners gemakkelijk om onderling veilig e-mails uit te wisselen (via interoperabiliteit), zonder iedere keer de e-mails te hoeven versleutelen. Daarmee wordt het ontvangen veel gemakkelijker. Wanneer je wil e-mailen naar mensen die zelf geen gebruik maken van een beveiligde e-mailoplossing, dan krijgt de ontvanger een versleutelde e-mail. Dit kun je zien als extra slotjes op de e-mail; dit is vaak een ophaalbericht in een portaal, maar kan sinds de nieuwste generatie ook na het bevestigen van een SMS-code rechtstreeks, zonder slotje in de inbox van de ontvanger.
In januari 2024 is de herziening van de norm voor veilig e-mailen in de zorg onder leiding van het Ministerie van VWS en de NEN gestart. Nederlandse organisaties die medische informatie verwerken zijn verplicht een gecertificeerd veilig e-mailproduct te gebruiken voor het versturen van informatie per e-mail. Daarnaast zie je dat de NTA 7516 ook vaak als eis wordt gebruikt bij het verzenden van juridische informatie, bijvoorbeeld door rechtbanken en advocaten.
Maar ook partijen zoals het Ministerie van Justitie en Veiligheid hebben gekozen voor veilige e-mailoplossingen die aan deze eisen voldoen. Daarnaast bieden veilige e-mailoplossingen ook een goed uitgangspunt voor organisaties om te (gaan) voldoen aan de Europese wetgeving, denk hierbij aan: NIS2, DORA, eIDAS(2) en de GDPR. Als uit het voorgaande blijkt dat je inderdaad een gecertificeerd NTA 7516-product nodig hebt, dan is het belangrijk om een zorgvuldig selectieproces voor Veilig Mailen te volgend. Je kiest namelijk voor een lange tijd voor een product én e-mailen doen al je medewerkers dagelijks, dus dat moet veilig, maar vooral ook gemakkelijk zijn. De meeste van onze klanten hebben tijdens hun selectieproces rekening gehouden met de volgende factoren.
Binnen veilig e-mailen zijn er verschillende technische oplossingen mogelijk. De eerste en meest bekende oplossing is met een portaal of private cloud. Hierbij kunnen klanten die deel uitmaken van deze oplossing gemakkelijk beveiligde berichten uitwisselen onderling. Echter, wanneer je met deze oplossingen berichten of e-mails wil uitwisselen met personen die geen gebruik maken van dezelfde oplossing, wordt de ontvanger geconfronteerd met een omslachtige ophaal procedure.
Uit onderzoek blijkt dat maar liefst 40% van deze berichten nooit worden gelezen. Een alternatieve oplossing is om alleen de gevoelige informatie in een beveiligde bijlage te versturen. Hiervoor moet je vaak buiten je eigen e-mailapplicatie een beveiligde bijlage versleutelen, waarna je de sleutel en bijlagen via een bepaalde oplossing naar de ontvanger stuurt. Deze oplossingen worden dan alleen voor specifieke bijlagen gebruikt en lang niet voor alle beveiligde informatie binnen een organisatie. Omdat deze manier van bijlageversleuteling extra handelingen van de gebruikers vraagt, wordt deze oplossing vaak te weinig toegepast. Dit kan leiden tot ongewenste en onbedoelde datalekken. De nieuwste generatie Veilig Mailen maken geen gebruik van een private cloud of portaal. In plaats daarvan functioneren ze als een digitale postbode die de beveiligde e-mail rechtstreeks in de mailbox van de ontvanger bezorgt. Hierdoor hoeven de verzender én ontvanger geen extra moeite te doen maar komt de e-mail op de verwachte plaats in hun e-mail omgeving. De extra versleuteling wordt elke 90 dagen afgehandeld middels een SMS bericht. Wil je meer weten over de verschillen lees dan onze blog over Waarom zou je voor de derde generatie Veilig Mailen kiezen?
Een belangrijke vraag die jij voor je eigen organisatie zou moeten beantwoorden is of de ontvangers dezelfde oplossing gebruiken of juist vaak zonder oplossing werken voor veilig e-mailen, zoals particuliere personen bijvoorbeeld patiënten, burgers of klanten. In dat geval is het verstandig om het gebruiksgemak van de ontvanger zwaar mee te laten wegen in je selectie.
Bij de veiligheid van veilig e mailen spelen een aantal zaken een belangrijke rol. Is de manier van authenticatie voor verzender en ontvanger veilig geregeld? Hierbij speelt dat SMS toch eigenlijk wel het minimale niveau is wat nodig is. Ook is het mogelijk om gebruik te maken van andere multifactor middelen zoals de UZI-pas, Advocaten-pas, en DigiD. Authenticatie door middel van een wachtwoord via e-mail is niet genoeg.
Naast de authenticatiemiddelen is het ook van belang waar de gegevens worden opgeslagen. Hiervoor is het belangrijk om gebruik te maken van een leverancier die opslag gegarandeerd binnen de Europese Unie doet. Hiermee vallen vooral Amerikaanse oplossingen buiten de overwegingen voor Nederlandse organisaties als mogelijke oplossingen.
Een ander aspect is: wat sla je op? Sommige oplossingen maken extra kopieën van alle e-mails en slaan deze op in hun private cloud, waardoor ze beschikbaar zijn voor zowel de verzender als de ontvanger. Het nadeel van deze aanpak is dat het leidt tot data concentratie, iets wat door de AVG-wetgeving wordt ontmoedigd. Gelukkig zijn er ook oplossingen die aan dataminimalisatie doen en enkel e-mails opslaan bij de verzender en de ontvanger zonder zelf een kopie beschikbaar te stellen.
Het laatste aspect dat bij veiligheid meespeelt is: wie maakt de keuze voor informatiebeveiliging? Moeten gebruikers dit doen tijdens het opstellen van de e-mail? Of geef je er juist de voorkeur aan dat dit centraal wordt geregeld door de specialisten binnen jouw organisatie. Dit is bepalend voor het kiezen voor een van volgende oplossingen. Een oplossing die veel gebruikersondersteuning aanbiedt en daarmee veel keuzes bij de verzender legt. Of dat je kiest voor een oplossing die alle e-mails beveiligd en op de achtergrond de juiste beslissingen neemt op basis van beleidsregels die jouw organisatie heeft vastgesteld voor het beveiligen van e-mailinformatie.
Uit onderzoek van Gartner blijkt dat oplossingen die gebruik maken van awareness bij gebruikers leiden tot veelvuldig ontwijken van beveiligingsoplossingen. Hierdoor zijn veilige e-mailproducten die veel keuzes aan de verzender overlaten per definitie een stuk ónveiliger dan e-mailoplossingen die alle beslissingen buiten het zicht van de verzender houden en op centraal niveau inrichten en daarmee ervoor zorgen dat alle e-mails altijd veilig verstuurd worden
Dus bij de veiligheid spelen de volgende overwegingen een rol :
Gebruiksgemak is een van de belangrijkste onderdelen bij het kiezen voor Veilig Mailen. Voor de meeste medewerkers is e-mail een groot deel van hun dagelijkse werk. Dit moet dus gewoon lekker makkelijk zijn. Als je dagelijks wordt geconfronteerd met pop-ups, vragen en telefoontjes van ontvangers terwijl je eigenlijk gewoon een e-mail wil versturen, dan ben je niet met de juiste dingen bezig en dit veroorzaakt veel irritatie. Je ziet ook in organisaties waar dit niet goed is ingericht dat Veilig Mailen te weinig wordt gebruikt en dat er toch vaak gevoelige informatie onbeveiligd wordt verstuurd.
Naast het gebruiksgemak van de verzender is er natuurlijk ook het gebruiksgemak voor de ontvanger. Op het moment dat de relatie met je ontvanger belangrijk is voor jou als organisatie, dan is het heel vervelend als ze bij iedere e-mail die ze van jou ontvangen een diepe zucht slaken: “oh ja, dat beveiligde e-mailtje weer”. Dat betekent namelijk dat iedere communicatie die jij start een negatieve emotie oproept bij je ontvanger en dat staat eigenlijk haaks op alle moeite die je hebt gedaan om een goede klantrelatie op te bouwen.
Dus, als het belangrijk is dat jouw medewerkers of collega’s makkelijk e-mails kunnen versturen of als jouw ontvangers de e-mail gemakkelijk moeten kunnen openen, is het belangrijk om te kiezen voor een product met hoog gebruiksgemak. Let op: er zijn producten op de markt die actieve beslisondersteuning als gebruiksgemak definiëren. Door goed te onderzoeken of dit ook voor jouw organisatie echt zo is, voorkom je een verkeerde keuze.
Bij het selecteren van een product is het goed om eerst na te gaan hoe de huidige werkomgeving eruitziet en of er voor binnenkort nog plannen op stapel staan.
Wat je wilt weten is: welke e-mailomgeving gebruik je? Is dit in de cloud? Werk je ook vaak vanaf andere locaties, zoals thuis of onderweg? Verstuur je e-mails ook vanaf je laptop, iPad en mobiele telefoon? Maak je gebruik van andere applicaties waaruit e-mails worden verzonden en ontvangen, zoals zaakdossiers, EPDS, CRM-systemen en klantcontactplatforms? Speelt Citrix, Azure, Cisco of MS Purview-DLP-oplossingen een rol in je infrastructuur?
Zorg ervoor dat er een goede aansluiting mogelijk is op jouw specifieke omgeving om implementatieproblemen te voorkomen. Over het algemeen geldt dat als je zelf een weinig professionele ICT-omgeving hebt, dat je waarschijnlijk meer ondersteuning vanuit Veilig Mailen nodig hebt. Denk hierbij aan extra plug-ins en een aparte web omgeving waar je los op kunt inloggen. Als je zelf al een complexe professionele ICT-omgeving hebt, bijvoorbeeld met Citrix, DLP, Multi Factor authenticatie op de werkplek, Cloud werkplekken, hybride middelen (waaronder mobiele telefoons en thuiswerkplekken), dan is het vaak wenselijk om een flexibel product te kiezen dat volledig op de achtergrond aansluit op jouw professionele omgeving en veelal gebruik maakt van de informatiebeveiliging die al aanwezig is in je huidige omgeving. Je wilt dan plug-ins vermijden.
De volgende certificeringen zijn relevant voor veilig e-mailen:
Alle veilige e-mailproducten worden aangeboden op basis van abonnementen, waarbij de kosten worden bepaald door het aantal gebruikers of medewerkers, of het aantal verzonden berichten. Gangbare abonnementstermijnen zijn per maand, per jaar of per 3 jaar. De uitschieters in de prijzen worden veroorzaakt door het aanbieden van extra functionaliteiten; hanteren van alternatieve financieringsmodellen (bv. ziekenhuizen betalen voor huisartsen) of hoge kortingen om marktentree te krijgen. Lees hier de blog voor meer inzicht in de prijsdrijvers en de indirecte kosten, die invloed hebben op de prijs van veilig e-mailen.
Er zijn veilig e-mail leveranciers die voornamelijk in de zorgsector of onder huisartsen en apothekers worden gebruikt. Als dit jouw werkveld is, kan het interessant zijn om een gespecialiseerde leverancier te overwegen. Andere leveranciers zijn actief in meerdere sectoren zoals, de lokale overheid, centrale overheid, juridische en zakelijke dienstverlening, financiën, verzekeraars. Sommige onderscheiden zich meer in geautomatiseerde API-koppelingen of natuurlijke personen e-mailen. Terwijl andere producten juist erg zichtbaar zijn voor de gebruiker en daarmee ook een bepaalde werkwijze afdwingen bij de gebruikers. Tot slot zijn er producten die zich onderscheiden door veel extra’s en actieve beslisondersteuning voor de gebruikers. Zelfs containerbegrippen als ‘AI’ en “machine learning” worden dan niet geschuwd. In hoeverre dit juist voor jouw organisatie een toegevoegde waarde heeft of vooral marketing is, is afhankelijk van je wensen en doelen.
De implementatie van een veilig e-mailproduct in een complexe grote organisatie is omslachtiger dan in een kleine organisatie. Daarbij spelen de volgende zaken een rol:
Inmiddels maken er al heel wat leveranciers onderdeel uit van een groter geheel. Vaak zijn dit externe financiers en partijen die voor een aantal jaar de organisatie sterk laten groeien en vervolgens weer verkoop klaar maken of voor een beursgang voor te bereiden om hun investering terug te verdienen. Het is belangrijk om je te verdiepen in de leverancier. Zijn alle investeerders wel Nederlands of Europees? Zo niet, dan kan er een conflict optreden met de EU-wetgeving voor privacy en dataveiligheid. Lees hier meer over het ECSO label.
Zijn de personen die de directie vormen nog wel inhoudelijk betrokken of zijn alle posities ingevuld door financieel gedreven investeerders? Dat laatste kan vragen oproepen over de mogelijkheden voor technische vernieuwing en bereidheid tot innovatie. Dit zijn allemaal signalen die van belang zijn om in te schatten of je een toekomst vaste oplossing kiest die met de nieuwste ontwikkelingen mee gaat of dat je een relatief oud product kiest dat (al jaren) wordt uitgemolken.
Tot slot is het in het kader van maatschappelijk verantwoord ondernemen belangrijk om aandacht te besteden aan bij wie je jouw geld besteed. Koop vooral in bij ondernemers die een toegevoegde waarde leveren aan een betere toekomst. Let hierbij op duurzaamheid voor de planeet; diversiteit in de samenstelling van het team (bv. vrouwelijke eigenaar), invulling geven aan maatschappelijke rollen en goede doelen.
Als bonus factor om rekening mee te houden de exit plannen. Als je een leverancier selecteert wil je graag beginnen en denk je misschien nog niet aan beëindigen. Maar dat is wel belangrijk. Private Cloud oplossingen die jouw berichten in hun Cloud houden zijn lastig om bij weg te gaan. Dit komt door het volgende:
Als je een e-mailconversatie voert met een ontvanger, dan mail je heen en weer met elkaar over een bepaald onderwerp. Deze e-mailstroom staat dan niet gewoon in je eigen mailomgeving, maar in de externe mailomgeving van de oplossing die jij het gekozen. Om deze e-mailconversatie na beëindiging van je contract terug in je eigen email omgeving bij je gebruiker te zetten, is complex. Vaak is dit zelfs niet meer goed mogelijk.
Een andere vendor lock-in die voorkomt is dat de gezamenlijke gebruikers van een private Cloud onderling wel goed berichten kunnen uitwisselen, maar niet iedereen voldoet aan de NTA 7516 eisen. Hierdoor vervalt de interoperabiliteit met je “oude” contacten na beëindiging van je contract.
Gelukkig zijn er ook e-mail leveranciers die wel een goed exit plan hebben en je kan hier dus rekening mee houden voordat je een leverancier selecteert.
De laatste stappen die je moet nemen voordat je een leverancier selecteert:
Op zoek naar een NTA 7516 leverancier? Vraag de selectietool van de VNG aan! Heb je specifieke vragen over het kiezen van een veilig e-mailproduct? Onze experts staan voor je klaar. Wil je een vergelijking van beschikbare e-mailproducten? Vraag het leveranciersoverzicht aan. Ontdek de Top 3 leveranciers in onze blog!
Wij zijn bereikbaar op: info@secumailer.com en 0320-337381.