Ok maar de menselijke fout is natuurlijk het gebruik en de configuratie van een e-mail systeem wat een dergelijke mail
toelaat. Mail met een dergelijk aantal zichtbare ontvangers zou in alle gevallen geblokkeerd moeten worden.
Ja, zelfs als het een interne mail is!

Zijn dit "menselijke fouten" of is dit een gebrek aan opleiding, configuratie en aan toezicht?

Je zou kunnen afspreken (en wellicht afdwingen) dat bij bijvoorbeeld meer dan 5 ontvangers in het CC-veld (en Aan-veld) iemand moet controleren of e.e.a. wel goed gaat. Of dat er op z'n minst een pop-up verschijnt met uitleg en de vraag "weet u het zeker?"

Edit 12:36: Aan-veld toegevoegd (en correctie in de 1e zin).

Kan iemand eens delen hoe je dat goed configureert in Microsoft 365?
Dus BCC met meer dan X externe ontvangers: blokkade van de mail met linkje terug naar de verzender waar je interne mailbeleid staat hoe het wel moet (bijvoorbeeld Word mailmerge als je geen budget hebt).

Want je wilt echt mailtools gebruiken die elke ontvanger persoonlijk mailt, geen bulk-mails in BCC.

Waarom worden email programma's niet zo gemaakt dat je automatisch aleen een bcc veld krijgt bij versturen meer dan 1 mail?

cc veld heeft sws geen enkele functie. Je stuurt mij een bericht of niet. Simpel toch. Amateurs

Naast een cursusje 'hoe moet ik correct mailen?' zou er een eentje voor 'correct toepassen van de AVG' ook niet misstaan bij de ABP.
Schering en inslag dat dat AVG overtreden wordt. Zolang geen instantie is die daar tegen optreedt...

Kunnen ze de cc optie er niet gewoon uithalen ?

ja, het zou onmogelijk moeten zijn om aan externe adressen te mailen met meer dan 5 adresseerden.. dan automatisch bcc

Hier wat info over het instellen van limieten voor Office 365.

https://techcommunity.microsoft.com/t5/exchange-team-blog/customizable-recipient-limits-in-office-365/ba-p/1183228

Edwin

ABP verplichtte enkele jaren geleden dat alle deelnemers een e-mailadres opgeven.

Zonder e-mailadres krijg je geen post.

En nu dit. Een datalek.

Op het gebied van gegevensbescherming is er bij de ABP meer aan de hand. Onder meer gebruiken ze e-mail voor vertrouwelijke persoonsgegevens zoals NAW geboortedatum e.d. en zijn stomverbaasd als er om een veilig kanaal wordt gevraagd. Het is hoog tijd dat pnsioenfondsen, uitkeringsinstanties e.d. keihard worden aangepakt.
Om te beginnen moeten datalekken altijd geld kosten, dat stimuleert veilig gedrag. Bijv. 500 euro voor iedere betrokkene in een datalek, als er nog geen schade is.

Je kan kiezen voor capabeke softqare. Ipv m$ kreupelware.

Gevoelige data per mail komt helaas erg vaak voor.

Bij de bank wilden de boeren ook KYC onderzoek informatie per email retour ontvangen. Toen ik naar PGP keys vroeg was het stil. Uiteindelijk een wachtwoord laten verzinnen welke in mijn beveiligde internetbankieren omgeving als bericht binnen kwam. Hiermee een archief versleuteld en gemaild.

Je zou toch denken dat als men zulke gevoelige data wil hebben er een special portal voor is of een andere veilige oplossing...

Dat de gedupeerde geld krijgen zal in heel veel gevallen toch nooit gaan gebeuren. Volgens het Europeese hof moeten die gebruikers aantonen dat er daarwerkelijk schade is ontstaan door het lekken. Dit is natuurlijk super lastig of niet van toepassing.

Het is triviaal om een e-mailserver zo in te stellen dat berichten met meer dan X adressen in de To:/Cc: automatisch geweigerd worden. Ik snap niet waarom dat niet standaard gedaan wordt.

Dat is niet zo nuttig, want daarmee stel je het maximale totaal aantal ontvangers van een e-mail in, dus inclusief BCC.
Als je dat lager zet dan hinder je de mensen gewoon in hun werk, ze moeten dan die mail die naar een groot aantal
ontvangers moet in meerdere delen gaan sturen, dat zal leiden tot irritatie, nog meer fouten, of sabotage.

Wat je nodig hebt is een instelling van de 3 velden (TO, CC, BCC) AFZONDERLIJK. Zodat je TO en CC laag kunt
zetten en BCC hoog. Maar als je rondzoekt lijkt het er op dat dit in standaard Microsoft 365 niet mogelijk is, alleen door
zelf te programmeren of een 3rd party plugin te installeren.

Wordt tijd dat ze dit fixen. Thunderbird heeft deze mogelijkheid wel. Alleen helaas staat het standaard niet ingeschakeld
dus in de praktijk is dat ook niet effectief....
(wie gaat er in de config editor wat prefs aanpassen??? en welk bedrijf gebruikt Thunderbird en regelt dit soort dingen?)

Wanneer je als professionele organisatie, een gewone mail vlient gebruikt voor dit doel, ben je dan nog wel te redden?
Hier zijn groepsmailers voor zoal Mailchimp. Geconfigureerd en beheerd door daarvoor opgeleid personeel.
Nee, blijven amateuren..

Toch makkelijk , zeggen dat een ander het maar moet oplossen.

Dank voor de link, maar zoals Anoniem vandaag 09:42 schrijft, daarmee stel je het maximum aantal ontvangers in op basis van de som van To, Cc en Bcc.

Toch is die link mogelijk interessant door de comments: in antwoord op een vraag van "beamzer" antwoordt Victor Ivanidze dat er een Outlook plugin voor bestaat, verwijzend naar https://www.ivasoft.com/restrictextrecipsowa.shtml. Dat lijkt een site van een eenmansbedrijfje en e.e.a. komt niet heel betrouwbaar over, maar ik heb er geen verder onderzoek naar gedaan.

In https://superuser.com/questions/445876/how-do-i-base-an-outlook-rule-on-the-number-of-to-addresses vond ik tips hoe je zelf zo'n Outlook plugin zou kunnen maken, maar ik heb geen idee of dit nog werkt in de laatste versies van Outlook (laat staan webbased).

Dit is m.i. functionaliteit die Microsoft allang had moeten aanbieden (mochten zij dat al doen, dan heb ik dat niet kunnen vinden, en dat zou aan mij kunnen liggen), gezien het onnodig grote aantal datalekken dat hierdoor maar blijft toenemen.

Ja maar wacht even! Er is bij Microsoft een triage voor het implementeren van features.
Er kijkt iemand "als we dit gaan maken, hoeveel meer gaan wij dan verdienen???".
Als het antwoord daarop is "weinig" of "niets" dan wordt het ook niet gemaakt.

Het interesseert Microsoft helemaal NIKS hoeveel problemen klanten hebben, hoeveel werkuren ze verspillen aan
problemen of aan de manier waarop dingen werken, welke schadeclaims ze krijgen, etc. Helemaal NIKS.
Pas als er (heel grote) klanten of (heel grote) regeringen aan de bel trekken over zo iets en hard maken dat ze niet
meer bij Microsoft gaan kopen of dat ze Microsoft wettelijk in de problemen gaan brengen, DAN pas komt er een opdracht
aan een programmeur om even zo iets in te bouwen. Eerder niet.

Het gebruik van MailChimp is formeel gezien ook direct een datalek.

MailChimp heeft enkel servers in de Verenigde Staten, en door de daar geldende wetgeving is het niet mogelijk om contractuele bepalingen rond het verwerken van data op te stellen die aan de AVG voldoen.

(In de praktijk gebeurt het delen van data met Amerikaanse bedrijven natuurlijk wel op grote schaal, omdat op veel gebieden de leidende en meest gangbare platformen allemaal daar vandaan komen en/of gevestigd zijn.)

Alsof er bij Mailchimp nooit datalekken plaatsvinden:
https://www.bleepingcomputer.com/news/security/mailchimp-discloses-new-breach-after-employees-got-hacked/

In het verleden heb ik meegemaakt dat ik opeens een nieuwsbrief begon te ontvangen waar ik me niet op had ingeschreven. De oorzaak: Mailchimp gebruikte in hun testomgeving echte nieuwsbrieven en echte e-mailadressen, die ze op andere manieren combineerden dan in hun live omgeving. Door een configuratiefout werden de testmailings echt verstuurd. Dat hebben ze toen hersteld, het is een paar jaar daarna nog een keer misgegaan (ik kreeg weer dezelfde nieuwsbrief), ook dat is weer hersteld en daarna is het niet meer gebeurd. De nieuwsbrief die ik kreeg kwam uit Maleisië en mijn e-mailadres was bij ze terechtgekomen via een Nederlandse nieuwsbrief die kort daarvoor bij hun was ondergebracht.

Dit is allemaal jaren geleden en het hoeft niet zo te zijn Mailchimp nog steeds zo werkt, maar toen het gebeurde waren ze al wereldwijd een grote speler. Toen was het in ieder geval zo dat ze testten met productiegegevens, e-mailadressen (dat zijn persoonsgegevens) gebruikten voor een doel waar ze die niet voor hadden ontvangen, zonder toestemming en zonder noodzaak om zo te werken. Met hun werkwijze namen ze het risico dat hun betalende klanten door hun fouten als spammers werden gezien.

Ik vind dat niet erg professioneel overkomen voor zo'n grote speler. Het komt op mij over alsof ze groot zijn geworden met een "move fast and break things"-mentaliteit.

Wie gebruikt er dan nog ook CCMail? .. sjesus

Nou, ik zou het zo voor ze doen als het te moeilijk voor ze is. Maar is het niet de taak van beheerders om dat te doen? En bovendien denk ik niet dat ze een rando toegang geven tot hun e-mailserver.

Mensen, die kunnen schrijven?

Lekker grootspraak. NEE, dat is niet de taak van een beheerder.

Nee, het is de taak van de kaboutertjes natuurlijk. Daar moet je niet tegenin gaan, dan krijg je problemen met de kaboutervakbeweging!

De beheerder beheren de server, als het niet hun taak is, is het niemands taak. Het is letterlijk een one-liner in postfix, het zal zoveel moeilijker niet zijn voor een ander pakket.

Zij beheren de servers, nergens staat dat zij allerlei oplossingen moeten schrijven, dat besteden ze uit.

"Een menselijke fout". Uiteraard.
'Veiligheidsbewustzijn'. Uiteraard.
Jaren en vele miljoenen Euro later is de AVG-compliance nog steeds ondermaats.
Ik neem aan dat Outlook of Exchange gebruikt is. En zoals in de meeste mailclients is het ook daarin heel goed mogelijk om het Cc-veld te disablen.

Ook andere pensioenfondsen willen graag je mailadres. En bieden self-service accounts aan. 'Handig voor u. Hebt ud direct inzicht, en kunt alles zelf regelen'.
Hoe minder dat soort databoeren van mij weten hoe beter het is.
Dus geen mailadres en geen account. Alles gewoon op papier. Dus ook geen smoesjes achteraf "U zult uw mailadres en inloggevens wel hebben laten slingeren".

Ook andere pensioenfondsen willen graag je mailadres. En bieden self-service accounts aan. 'Handig voor u. Hebt ud direct inzicht, en kunt alles zelf regelen'.
Hoe minder dat soort databoeren van mij weten hoe beter het is.
Dus geen mailadres en geen account. Alles gewoon op papier. Dus ook geen smoesjes achteraf "U zult uw mailadres en inloggevens wel hebben laten slingeren".

De link direct onder het artikel is ook wel leuk :'NCTV: 44 procent Nederlanders maakt zich zorgen over cyberdreigingen'
Niks 'cyberdreigingen', gewoon slordig personeel en wegduikend verantwoordelijk management.
Zowel bij overheid als bedrijfsleven.