Mijn klant wil medische gegevens laten mailen, welke zorgplicht heb ik?
woensdag 18 augustus 2021, 10:41 door Arnoud Engelfriet, 21 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik ontwikkel een website voor een zorgverlener. Daarin zit ook een intake-formulier, waarin cliënten zich aanmelden en daarbij medische gegevens (bijvoorbeeld klachten of voorgeschiedenis) kunnen opgeven. De zorgverlener is een eenmanszaak en wil graag dat de gegevens naar hem gemaild worden vanuit het formulier. Ook moet de cliënt de optie krijgen om een kopie naar zichzelf te laten sturen ter bevestiging. Ik vind dat nogal onveilig, maar de klant staat erop. Hoe moet ik hiermee omgaan juridisch gezien?
Antwoord: De kern van de vraag is of e-mail wel een veilig medium is voor het transporteren van medische persoonsgegevens. De AVG stelt hoge eisen aan de beveiliging, en e-mail is natuurlijk niet inherent voorzien van de hoogste beveiliging. Het kan, maar je moet er wel je best voor doen. Denk aan situaties waarin de mailserver binnen hetzelfde domein draait als de website met het formulier, als die omgeving als geheel veilig is dan is natuurlijk dat mailtje ook beveiligd.
Vaak zie je echter dat men een oplossing inzet die voor 'gewone' bevestigingsmails (aanvraag offerte, inschrijving nieuwsbrief et cetera) gebruikt. De inhoud van het formulier wordt in een mailtje geplakt en via een standaardfunctie van je websitesoftware verstuurd. Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing. Een simpel alternatief kan zijn dat de medewerker een mailtje krijgt met een link naar de informatie, en dan moet inloggen op de backend van de website om de informatie te zien.
Specifiek bij de kopie naar de klant kan het anders liggen. Je kunt dan zeggen, de zorgvrager verzoekt met dat vinkje zelf om de kopie, en daarmee valt het versturen buiten de verantwoordelijkheid van de zorgaanbieder. Dan is er dus niets aan de hand. Alleen: weet de zorgvrager wel wat zhij vraagt met dat vinkje, of gaat die er vanuit dat de zorgaanbieder het veilig ingeregeld heeft? Dat laatste lijkt mij vrij waarschijnlijk. Bovendien ontkom je niet aan het feit dat de zorgaanbieder toch een en ander doet met die persoonsgegevens – en wel in opdracht, dus als verwerker namens de zorgvrager. En dan blijf je zitten met de beveiligingseisen.
Het lastige is natuurlijk dat e-mail over het algemeen wordt gezien als een handig en snel middel, en dat mensen de risico’s lastig kunnen inschatten. Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers. Het klassieke scenario dat iemand meeleest met de mail in transport, of een admin van een tussenliggende mailserver even koekeloert in de wachtrij lijkt mij ondertussen wel een beetje achterhaald. Maar met alleen het abstracte verhaal "je moet voorzichtig zijn met mail" kom je er niet als dienstverlener.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (21)
Dit klopt niet helemaal. De AVG stelt helemaal geen hoge eisen. Ze stelt dat persoonsgegevens adequaat beschermd moeten worden volgens de laatste stand der techniek. Op welke wijze dit gebeurd is verder niet aan de wet. De wet gaat alleen over het wat en niet over het hoe kwa invulling van bescherming.
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Versturen van medische gegevens altijd encrypted doen.
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Versturen van medische gegevens altijd encrypted doen.
Je kunt uit de bevestiging richting klant dat veld waarin die klachten en voorgeschiedenis staan toch weglaten?
Tuurlijk er zullen mensen gaan zeiken dat alles in dat formulier persoonsgegevens zijn, maar zoals Arnoud ook al schrijft
is het in het algemeen geen probleem bij het transport van de mail en wat de klant op de eigen computer met die mail
doet moet ie zelf weten. Zolang daar geen uitgebreide medische verhalen in staan lijkt me dat geen probleem, hij/zij
heeft vast al wel andere mailtjes waar info als naam, adres, telefoonnr, geboortedatum etc in staan.
Tuurlijk er zullen mensen gaan zeiken dat alles in dat formulier persoonsgegevens zijn, maar zoals Arnoud ook al schrijft
is het in het algemeen geen probleem bij het transport van de mail en wat de klant op de eigen computer met die mail
doet moet ie zelf weten. Zolang daar geen uitgebreide medische verhalen in staan lijkt me dat geen probleem, hij/zij
heeft vast al wel andere mailtjes waar info als naam, adres, telefoonnr, geboortedatum etc in staan.
Goed verhaal, maar mbt deze opmerking heb ik wel mijn bedenkingen:
Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers.
Het lastige is dat je dit dus niet weet, dwingt jouw server TLS af, of heeft hij alleen maar een voorkeur voor TLS. Wat las de ontvangende server niet over TLS beschikt? Voor zoiets als medische gegevens denk ik dat je zekerheid moet afdwingen en er niet vanuit moet gaan dat het tegenwoordig wel goed geregeld zal zijn.
Mail is nog steeds SMTP en de S staat voor simple.
Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers.
Het lastige is dat je dit dus niet weet, dwingt jouw server TLS af, of heeft hij alleen maar een voorkeur voor TLS. Wat las de ontvangende server niet over TLS beschikt? Voor zoiets als medische gegevens denk ik dat je zekerheid moet afdwingen en er niet vanuit moet gaan dat het tegenwoordig wel goed geregeld zal zijn.
Mail is nog steeds SMTP en de S staat voor simple.
Specifiek voor het e-mail van medische gegevens is de NTA 7516 bedacht: https://www.nen.nl/nta-7516.
Hint: dit inrichten is ondoenlijk op een dergelijke website. Mocht je toch een houtje touwtje oplossing verzinnen, dan lijkt het mij handig zwart op wit te laten zetten dat je geen garantie geeft dat dit voldoen aan alle wet- en regelgeving en dat je klant hier zelf voor verantwoordelijk is.
Hint: dit inrichten is ondoenlijk op een dergelijke website. Mocht je toch een houtje touwtje oplossing verzinnen, dan lijkt het mij handig zwart op wit te laten zetten dat je geen garantie geeft dat dit voldoen aan alle wet- en regelgeving en dat je klant hier zelf voor verantwoordelijk is.
Door Anoniem: Dit klopt niet helemaal. De AVG stelt helemaal geen hoge eisen. Ze stelt dat persoonsgegevens adequaat beschermd moeten worden volgens de laatste stand der techniek. Op welke wijze dit gebeurd is verder niet aan de wet. De wet gaat alleen over het wat en niet over het hoe kwa invulling van bescherming.
Dat er geen technische uitwerking van wordt gegeven betekent niet dat de gestelde eisen niet hoog zijn. De formulering is: "passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd". Spit de AVG eens van begin tot eind door, vertaal die zorgvuldig in een technische en organisatorische uitwerking, rekening houdend met wat er allemaal mis zou kunnen gaan, hoe je dat voor kan zijn en hoe je ermee omgaat als het misgaat, bedenk dat je het resultaat ook nog eens actueel moet houden en dus regelmatig moet evalueren, en kijk eens of je dan nog vindt dat de AVG geen hoge eisen stelt.De AP gebruikt in de praktijk trouwens NEN7510 en NEN7513 om het resultaat te beoordelen bij zorgverleners, lees ik op hun website, je doet er dus goed aan om naar meer te kijken dan uitsluitend naar wat de AVG zelf zegt:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg
ICT voorzieningen van universiteiten hebben een standaard voor het beveiligen van informatie, zie bijvoorbeeld de link
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
Persoonlijk vind ik de "beveiligde omgevingen" die veel zorgaanbieders, maar ook bedrijven (facturen, loonstrookjes, etc.) gebruiken bijzonder irritant. Je krijg dan een email "er staat een bericht voor je klaar"... wat mij betreft is email veilig genoeg om dat bericht direct te sturen. Ik kan me voorstellen dat niet iedereen het daar mee eens zijn, maar laat dat dan een (bewuste) afweging van de eindgebruiker zijn.
Daarbij heb ik vaak dat je het bericht probeerd te openen en je dan een code moet intikken die ze naar, jawel, datzelfde email adres sturen.
Daarbij heb ik vaak dat je het bericht probeerd te openen en je dan een code moet intikken die ze naar, jawel, datzelfde email adres sturen.
Door Anoniem: ICT voorzieningen van universiteiten hebben een standaard voor het beveiligen van informatie, zie bijvoorbeeld de link
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
Ik weet niet of dit serieus was bedoeld, maar dat 'Ndax Quatum Systeem' lijkt redelijk wat ongefundeerde claims te maken. Nu moet ik bekennen dat ik de quantum cryptografie vakken op de universiteit aan mij voorbij heb laten gaan, maar volgens mij is er niemand die gaat begrijpen wat er op die website staat geschreven.
Door Anoniem:
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Let op wat er in de vraag staat. INTAKE FORMULIER.
Alvorens je dergelijke oplossingen kunt gebruiken moet je eerst een registratie van die klant hebben, waarin je gegevens
rond die multi factor authenticatie (of dat nou je eigen oplossing of iets als zorgmail is) rond maakt. Zeg maar wat
zorgverzekeraars ook hebben.
Dat soort "intake formulieren" is bedoeld om op een website waar de zorgverlener zijn/haar etalage heeft, de potentiele
klant zich kan melden en de zorgverlener vervolgens weer contact opneemt als die wat ziet in het behandelen van
die klant / patient.
Denk je dat je nog veel klanten krijgt als je eerst gedwongen wordt een uitgebreide registratie te doen met moeilijk
wachtwoord en 2nd factor token (SMS zal wel weer niet goed genoeg zijn he? "want onveilig") en als dat eindelijk
helemaal rond is je een formulier kunt invullen wat superbeveiligd behandeld wordt en waar je weer terug kunt gaan
om antwoorden te lezen enzo? Nee, dan is iedereen allang op zoek naar een andere zorgverlener of een andere
manier om het te regelen.
Dan kan die zorgverlener beter op de site zetten "bel me op dit nummer". En dan maar hopen dat je niet afgeluisterd wordt.
Door Anoniem: Dit klopt niet helemaal. De AVG stelt helemaal geen hoge eisen. Ze stelt dat persoonsgegevens adequaat beschermd moeten worden volgens de laatste stand der techniek. Op welke wijze dit gebeurd is verder niet aan de wet. De wet gaat alleen over het wat en niet over het hoe kwa invulling van bescherming.
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Versturen van medische gegevens altijd encrypted doen.
Het versturen van email met medische gegevens is niet veilig als daarvoor onbeschermde mail wordt gebruikt. Hiervoor zijn oplossingen in de markt. Een voorbeeld is Zorgmail. Veder kun je de medische gegevens encrypten en decrypten. Daarvoor zijn oplossingen.
Daarnaast moet de verbinding met de website zijn beschermd met DNSSEC en HTTPS. Ook is het veiliger om een klant via een portal functie met Multi Factor Authenticatie te laten inloggen en dan zijn gegevens in te laten voeren in het formulier. Het formulier zelf moet ook zijn beveiligd tegen aanvallen.
Versturen van medische gegevens altijd encrypted doen.
Zorgmail? Is dat niet dat systeem waar ik als patient door hoepeltjes moet springen, terwijl een aanvaller slechts 2 mailtjes hoeft te onderscheppen om bij mijn gegevens te komen?
Door Anoniem:
Zorgmail? Is dat niet dat systeem waar ik als patient door hoepeltjes moet springen, terwijl een aanvaller slechts 2 mailtjes hoeft te onderscheppen om bij mijn gegevens te komen?
Als er bij het verzenden van de mail een telefoonnummer is opgegeven dan moet de aanvaller een mail en een SMSZorgmail? Is dat niet dat systeem waar ik als patient door hoepeltjes moet springen, terwijl een aanvaller slechts 2 mailtjes hoeft te onderscheppen om bij mijn gegevens te komen?
onderscheppen.
Ik weet wel dat de jongetjes hier in koor roepen "maar dat is heel simpel hoor!" maar in werkelijkheid is dat natuurlijk
niet zo simpel.
Waarom zou je tegenwoordig nog zelf zo iets willen ontwikkelen als er simpele en betrouwbare oplossingen zijn.
Dit moet je helemaal niet via een eigen website willen doen.
Ik gebruik als zzper in de zorg https://www.mijndiad.nl/ als planner en contactmedium. Hierin zit ook beveiligd mailen.
De kosten worden bepaald aan de hand van het gebruik. Zeer overzichtelijk dus.
Betrouwbare Nederlandse partij
Dit moet je helemaal niet via een eigen website willen doen.
Ik gebruik als zzper in de zorg https://www.mijndiad.nl/ als planner en contactmedium. Hierin zit ook beveiligd mailen.
De kosten worden bepaald aan de hand van het gebruik. Zeer overzichtelijk dus.
Betrouwbare Nederlandse partij
Dit klopt niet helemaal. De AVG stelt helemaal geen hoge eisen. Ze stelt dat persoonsgegevens adequaat beschermd moeten worden volgens de laatste stand der techniek.
Dat is een hoge eis; de wet gaat niet in op de laatste stand van de techniek. Anders zou je ook bij iedere voortgang in de techniek de wet moeten aanpassen. Het wetboek is ook geen compliancy framework voor IT Security. Bij een incident zal men op basis van de techniek op dat moment moeten bepalen, of er sprake is van adequaat beschermen, volgens de laatste stand der techniek.
Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing.
Hoe moet de onbekende persoon die zich aanmeldt de kopie naar zichzelf decrypten, indien deze niet beschikt over een decryption key ?
Zorgmail? Is dat niet dat systeem waar ik als patient door hoepeltjes moet springen, terwijl een aanvaller slechts 2 mailtjes hoeft te onderscheppen om bij mijn gegevens te komen?
De vraag is niet of het gaat via mail, of via een andere oplossing. Maar meer om hoe de gebruikte oplossing beveiligd is. Zowel mail als een alternatief kan goed/slecht beveiligd zijn.
19-08-2021, 20:53 door
Rick G
[Verwijderd door moderator]
Volgens mij is de reactie van Rick G (terecht) verwijderd vanwege het promoten van 1 bepaalde dienst. Omdat er in de post nog een andere nuttige opmerking gemaakt werd wil ik die nog wel even herhalen (in mijn eigen woorden).
Op dit moment is de NTA 7516 ontwikkeld als technische standaard om veilig te e-mailen binnen het zorgdomein. De standaard is bedacht zodat aan alle relevante wet en regelgeving wordt voldaan. Op dit moment wordt er onder de NTA 7530 gewerkt aan een vergelijkbare standaard voor het e-mail binnen het juridische domein. Op de website van de NTA 7530 zie ik dit ook terug komen in verschillende documenten over lopende projecten. Zeker iets om in de gaten te houden dus.
Op dit moment is de NTA 7516 ontwikkeld als technische standaard om veilig te e-mailen binnen het zorgdomein. De standaard is bedacht zodat aan alle relevante wet en regelgeving wordt voldaan. Op dit moment wordt er onder de NTA 7530 gewerkt aan een vergelijkbare standaard voor het e-mail binnen het juridische domein. Op de website van de NTA 7530 zie ik dit ook terug komen in verschillende documenten over lopende projecten. Zeker iets om in de gaten te houden dus.
Door Anoniem: Volgens mij is de reactie van Rick G (terecht) verwijderd vanwege het promoten van 1 bepaalde dienst. Omdat er in de post nog een andere nuttige opmerking gemaakt werd wil ik die nog wel even herhalen (in mijn eigen woorden).
Op dit moment is de NTA 7516 ontwikkeld als technische standaard om veilig te e-mailen binnen het zorgdomein. De standaard is bedacht zodat aan alle relevante wet en regelgeving wordt voldaan. Op dit moment wordt er onder de NTA 7530 gewerkt aan een vergelijkbare standaard voor het e-mail binnen het juridische domein. Op de website van de NTA 7530 zie ik dit ook terug komen in verschillende documenten over lopende projecten. Zeker iets om in de gaten te houden dus.
Op dit moment is de NTA 7516 ontwikkeld als technische standaard om veilig te e-mailen binnen het zorgdomein. De standaard is bedacht zodat aan alle relevante wet en regelgeving wordt voldaan. Op dit moment wordt er onder de NTA 7530 gewerkt aan een vergelijkbare standaard voor het e-mail binnen het juridische domein. Op de website van de NTA 7530 zie ik dit ook terug komen in verschillende documenten over lopende projecten. Zeker iets om in de gaten te houden dus.
Ik heb de de reactie (en probably anderen) aangegeven omdat deze van het bedrijf afkwam dat er genoemd was als de enige genoemde dienst als antwoord in het bericht.
Als een medewerker (in dit geval de CIO) eerlijk zegt dat hij zij het geaffilieerd is aan genoemde dienst en ook nog andere concurenten benoemd heb ik zo iets van prima goede info en ethisch verantwoord. Maar dit was gewoon verkapte reclame met 1 bedrijf als highlight dat van de reactie gever en dat is simply not done.
Belangenverstrengeling is altijd mogelijk dat kun je lastig voorkomen maar nuance erop en openheid daar heb je wel controle over.
Dat gezegd is dit een uitermate ingewikkelde standaard en is het net als de oudere normering 7510, 7511 en 7513 raadzaam hier een specialist voor in te schakelen omdat er simpelweg geen kant en klare oplossingen bestaan zit veel integratie tijd in en heeft de directie een grote rol te spelen bij de uitwerking van de beleidsdocumenten.
Erbij gezegd dat ja 7530 is in concept fase echter NEN doet er meestal een paar jaar over voor een normering doorgevoerd kan worden. De kans is groot dat 7530 of aanvulling wordt op 7516 of vervanger maar erop wachten is helaas niet realistisch.
Versleutelen van een bestand naar een .7z bestand met een lang password dat gegeneerd is met een goede non-deterministische random generator resulteerd is een onkraakbaar beveiligd bestand.
Wanneer je dit versleutelde bestand als bijlage van een e-mail verstuurd en het paasword via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger verstuurd is een redelijk veilige manier.
Je kunt het beveiligde bestand ook op een micro-sd zetten en deze versturen via de reguliere post.
Wanneer je dit versleutelde bestand als bijlage van een e-mail verstuurd en het paasword via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger verstuurd is een redelijk veilige manier.
Je kunt het beveiligde bestand ook op een micro-sd zetten en deze versturen via de reguliere post.
Door Anoniem: Persoonlijk vind ik de "beveiligde omgevingen" die veel zorgaanbieders, maar ook bedrijven (facturen, loonstrookjes, etc.) gebruiken bijzonder irritant. Je krijg dan een email "er staat een bericht voor je klaar"... wat mij betreft is email veilig genoeg om dat bericht direct te sturen. Ik kan me voorstellen dat niet iedereen het daar mee eens zijn, maar laat dat dan een (bewuste) afweging van de eindgebruiker zijn.
Daarbij heb ik vaak dat je het bericht probeerd te openen en je dan een code moet intikken die ze naar, jawel, datzelfde email adres sturen.
Daarbij heb ik vaak dat je het bericht probeerd te openen en je dan een code moet intikken die ze naar, jawel, datzelfde email adres sturen.
dat is het vooral niet , zolang externe urls worden toegelaten binnen webmail, het feit dat ook urls niet meer onmiddelijk zichtbaar worden als je er over gaat.
Ik werk zelf aan een webmail die een automatic clean uitvoeren waardoor externe url onmiddelijk verwijdert worden.
Ik persoonlijk zou niet willen dat mensen die te weinig kennis hebben van beveiligen in dergelijke sectoren zouden mogen werken.
en al die zever over https te gebruiken als men dan een certificaat van bedenkelijke oorsprong gebruikt of ook maar een url naar derde partijen gaat leggen die zonder meer met één loop de html structuur kan doorsturen naar welke richting ook.
Iemand die de verbinding omleid komt minder voor dan , criminele tracking libs die toegevoegd worden .
Aan het eerste kan je nog iets doen . De libs die kwaadaardig zijn of mensen dwingen tot het delen van die betreffende informatie .met de smoes hun diensten te moeten verbeteren stelen ze uw privedata.
Zo kan je in belgie geen vrt zien als je op google.com geen cookie toelaat . Hun kerngedachte is wij zijn een onafhankelijke openbare omroep.
Wat ik denk is als je die info zal willen opslaan zult u alle gratis gemakzuchten aan de kant moeten plaatsen.
Door Anoniem:
Ik weet niet of dit serieus was bedoeld, maar dat 'Ndax Quatum Systeem' lijkt redelijk wat ongefundeerde claims te maken. Nu moet ik bekennen dat ik de quantum cryptografie vakken op de universiteit aan mij voorbij heb laten gaan, maar volgens mij is er niemand die gaat begrijpen wat er op die website staat geschreven.
Door Anoniem: ICT voorzieningen van universiteiten hebben een standaard voor het beveiligen van informatie, zie bijvoorbeeld de link
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
https://www.ru.nl/ict/algemeen/informatie-beveiligen/informatiebeveiliging/bestanden-versleutelen/7zip-aes/
Een versleuteld bestand kan dan als bijlage van een e-mail verstuurd worden.
Het password kan via een ander kanaal (bijvoorbeeld SMS) naar de ontvanger gestuurd worden.
Het Ndax Quantum Systeem op de Ndix Internet-Exchange van de Universiteit Twente gebruikt hierbij true quantum passwords, zie bijvoorbeeld de link https://www.math4sci.com/ndax-quantum-system-secure-client/
Ik weet niet of dit serieus was bedoeld, maar dat 'Ndax Quatum Systeem' lijkt redelijk wat ongefundeerde claims te maken. Nu moet ik bekennen dat ik de quantum cryptografie vakken op de universiteit aan mij voorbij heb laten gaan, maar volgens mij is er niemand die gaat begrijpen wat er op die website staat geschreven.
Op de link https://math4sci.com kun je op de pagina "Ndax Quantum System" van de link "Ndax Quantum System Demonstrator for MacOS" een demonstrator downloaden welke je zelf kunt proberen. Bij de demonstrator is ook een verifieerbaar veiligheidsbewijs gegeven van het "Quantum Challenge Response Protocol" dat gebruikt is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
