E-mail is een onveilige communicatiemethode, omdat berichten onderweg door iedereen gelezen kunnen worden. Lees daar onder meer dit over.
Maar e-mail komt ook wel eens verkeerd aan. Dat is vervelend als er vertrouwelijke persoonsgegevens in staan.
Foute e-mail
Onlangs kreeg ik een e-mail van het bedrijf Sanoma, over een abonnement dat niets met mij te maken heeft. Waarschijnlijk heeft de abonnee het e-mail adres verkeerd ingevuld. Als ik een fraudeur zou zijn, zou ik blij zijn met alle gegevens die het bedrijf in de e-mail zet, namelijk naam, adres, machtigingskenmerk, incassant-ID van Sanoma, klantnummer en abonnementsnummer. Even zoeken naar de overige gegevens via Facebook, Google enzovoorts en dan kijken welke identiteitsfraudemogelijkheden er zijn.
Gelukkig was Sanoma niet zo dom om het bankrekeningnummer van de abonnee in de e-mail te zetten (maar er zijn vele ondernemende nitwits, bijvoorbeeld Tele2, die dat soort dingen wel doen).
Melden van de fout: ook niet makkelijk
Aangezien ik van goede wil ben, besloot ik de fout te melden. Maar ook dat is niet eenvoudig, want de e-mail bevat geen link naar een URL om dit soort fouten te melden. Als je vragen hebt, kun je bellen; dat ga ik natuurlijk niet doen want ik heb hier niets mee te maken.
Simpel replyen op zo’n fout geadresseerde e-mail werkt niet; het blijft vreemd dat bedrijven wel e-mail sturen, maar geen e-mail terug willen hebben. Uiteraard probeerde ik het wel, maar zoals gebruikelijk kan je niet e-mailen naar zo’n afzender e-mail (in dit geval info@service.sanoma.nl).
Dan maar naar de site en naar klantenservice. Op de klantenservice pagina heeft niemand bedacht dat er ook niet-klanten iets zouden willen melden, dus moet je veel moeite doen om geen persoonsgegevens te verstrekken; ook bij de onderwerpen wordt niet aan klachten gedacht. Met enige moeite lukt het toch om met het invullen van wat fake gegevens de boodschap te brengen, na het vermelden van de gegevens adviseer ik de onderneming het abonnement te annuleren wegens mogelijke fraude. Een reactie heb ik op het tijdstip van afsluiten van dit artikel nog niet gehad.
[1] Tips voor degenen die e-mail verzenden
- Zet geen persoonsgegevens in e-mailberichten, dus ook geen naam en adres van de geadresseerde en zeker geen andere gegevens (geboortedatum, bankrekeningnummer, enzovoorts). Zet geen persoonsgegevens in bijlagen bij e-mailberichten. (Geldt ook voor facturen.) Dit betekent dat facturen aan natuurlijke personen niet per e-mail kunnen worden verzonden.
- Verifieer een e-mail adres, vóór het te gebruiken voor e-mailberichten aan klanten. Stuur daarna pas mededelingen (die dus geen persoonsgegevens mogen bevatten). Een goed voorbeeld daarvan is hoe veel e-mailabonneringsservices werken.
[2] Tips voor degenen die e-mail willen ontvangen
- Ga na hoe de wederpartij met e-mail verkeer omgaat en of sprake is van de handelswijze die ik onder [1] heb beschreven.
- Ga na of de wederpartij over een digitaal veiligheidsbeleid beschikt en of er informatie is of men technisch veilig is.
Lees in dit verband ook mijn nieuwjaarstip 2015: zeg al je lidmaatschappen en abonnementen op en kom pas terug als bedrijven en instellingen hun security op orde hebben.
NB Deze tips zijn niet alleen voor consumenten relevant.
Onveiligheid van e-mail
- Inleiding Engelfriet over de onveiligheid van e-mail. Zijn conclusie: “E-mail is, ondanks zijn populariteit en vele toepassingen, een inherent onveilig medium“.
- Wifi onderweg: gebruik een VPN, door het Nationaal Cyber Security Centrum (NCSC).
- NCSC heeft diverse andere interessante factsheets uitgebracht, onder meer over veilig gebruik van smartphones en tablets.
- Tele2 heeft z’n systemen niet op orde, zo blijkt uit een klacht van een gebruiker die een e-mail vol met persoonsgegevens kreeg van dit bedrijf. Het valt op dat Tele2 niet de moeite neemt de klacht te beantwoorden.
Bestrijding identiteitsfraude
De politie geeft nuttige tips over de bestrijding van identiteitsfraude. Ook alleen naam en adres zijn gegevens waarmee gefraudeerd kan worden. De politie adviseert onder meer:
Verstrek nooit persoonlijke gegevens als bankrekeningnummer, pasnummer, pincode, betaalcode of persoonsgegevens als naam, geboortedatum of adres:
– per telefoon of e-mail;
– op een website via een link in een e-mail, waarbij gevraagd wordt uw persoonlijke gegevens in te vullen;
Aanvulling 7 juni 2017
Overigens moet er niet klakkeloos van VPN gebruik gemaakt worden. Lees in dat verband het informatieve Engelstalige artikel van Kaspersky, dat natuurlijk het eigen product aanbeveelt, maar dat wel nuttige informatie bevat.
Ellen Timmer - juridische artikelen en berichten 