In 2024 verschenen voor het eerst drie nieuwe eisen in een aanbesteding van de Nederlandse overheid voor veilig e-mailverkeer. Een belangrijke mijlpaal en voor ons bij SecuMailer een bevestiging dat de markt klaar is voor een volgende stap in de volwassenwording van digitale veiligheid en compliance.
De drie nieuwe eisen:
In deze blog leggen we uit hoe we deze eisen concreet maken voor onze klanten en waarom dit ertoe doet.
Op 24 juni 2024 ontvingen we van de Rijksdienst voor Digitale Infrastructuur (RDI) de officiële erkenning als gekwalificeerde vertrouwensdienst (QTSP). Daarmee werd onze oplossing “QREMS gekwalificeerd aangetekend mailen” de eerste Nederlandse dienst in zijn soort die volledig gecertificeerd én commercieel beschikbaar is.
Dat was geen gemakkelijke weg. Het traject duurde ruim een jaar, inclusief externe audits en technische toetsingen. Toch is het resultaat het waard: inmiddels hebben zes ministeries QREMS omarmd als oplossing voor hun digitale correspondentie.
“Al in 2014 zat ik namens SecuMailer met PostNL en Rpost aan tafel bij Binnenlandse Zaken om na te denken over aangetekend mailen. Het is bijzonder om nu, tien jaar later, te zien dat het eindelijk breed wordt omarmd.”
— Yvonne Hoogendoorn CEO
Hoewel in Nederland vaak ‘aannemelijk bewijs’ volstaat in juridische context, is in internationale samenwerking de eis voor gekwalificeerd bewijs steeds vaker realiteit. Met QREMS lopen we daarop vooruit.
In september 2024 zijn we gestart met de ontwikkeling van een nieuwe oplossing: Data Haven. Een tijdelijke opslag van e-mailberichten binnen de eigen infrastructuur van de klant.
Waarom is Data Haven nodig?
In het ontwerp van ons platform is volledige dataminimalisatie doorgevoerd. Dit houdt in dat wij alle e-mails van onze klanten veilig afleveren en daarna geen kopie van de e-mail meer beschikbaar hebben. We leveren rechtstreeks in de mailbox van de ontvanger af, dus er is geen berichtenportaal waar opslag plaatsvindt. Hierdoor is er geen discussie nodig over encryptiesleutelbeheer (zogenaamde zero-access), want er is geen data, dus er kan ook geen ongeautoriseerde toegang plaatsvinden.
Daarnaast is er wel een korte periode waarin het e-mailbericht wacht op aflevering, namelijk tijdens de authenticatie van de ontvanger. Tot die tijd kan het bericht in een Kubernetes-omgeving bij de klant blijven staan in een zogenaamde Data Haven. Dit is sinds maart 2025 commercieel beschikbaar. Een aantal provincies en Nederlandse gemeenten worden hier heel blij van. Met SecuMailer bieden we een 100% Europees alternatief, volledig compliant met de eisen van de Europese Economische Ruimte (EER), zonder buitenlandse investeerders of zeggenschap. Dat kunnen we ook aantonen: we dragen het ECSO-label (European Cyber Security Organisation), dat alleen wordt toegekend aan écht Europese cybersecurity-oplossingen.
Sinds oktober 2024 is SecuMailer ook gecertificeerd volgens ISAE 3000 / SOC2 Type II. Daarmee voldoen we aan de eisen die de Europese NIS2- en DORA-wetgeving stellen op het gebied van informatiebeveiliging én bedrijfscontinuïteit. Voor veel van onze klanten, met name in de financiële sector en de overheid, is dit cruciaal.
Wat deze certificering bijzonder maakt, is dat deze niet alleen kijkt naar technische maatregelen, maar ook naar de controle op de uitvoering ervan en naar de financiële stabiliteit van de organisatie als geheel. Doordat wij al onder toezicht staan van de RDI, ISO 27001-gecertificeerd zijn én ons informatiebeveiligingsbeleid al internationaal hadden ingericht, konden we deze stap zetten zonder grootschalige herstructurering van ons ISMS.
Veilig mailen is niet langer een IT-keuze, maar een strategische compliance-beslissing. Met onze nieuwe features bieden we organisaties de mogelijkheid om controle te houden over hun data, juridisch sluitende communicatie te voeren en aan de strengste eisen te voldoen zonder complexiteit.
We delen onze ervaring graag. Neem contact met ons op voor advies, demonstraties of samenwerking.
