Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Veilige e-mail > PII Versturen via E-mail: Overwegingen voor Beveiliging & Naleving
PII Versturen via E-mail: Overwegingen voor Beveiliging & Naleving

PII Versturen via E-mail: Overwegingen voor Beveiliging & Naleving

by Robert Dougherty updated mei 28, 2025 Veilige e-mail
Reading Time: 12 minutes

Als uw bedrijf PII ontvangt via e-mail van klanten, aannemers of andere personen, zijn er strikte regelgeving waaraan u moet voldoen om kostbare boetes te voorkomen.

Is het veilig om PII via e-mail te verzenden? Nee, u moet nooit PII via e-mail versturen. Maar als u toch PII via e-mail moet verzenden, moet deze worden versleuteld en moeten bepaalde beveiligingsprotocollen worden gevolgd om ervoor te zorgen dat, als de e-mail wordt onderschept, de PII niet leesbaar is.

Wat is Persoonlijk Identificeerbare Informatie (PII)?

Eenvoudig gezegd is persoonlijk identificeerbare informatie (PII) alle informatie waarmee iemand direct of indirect de identiteit van een ander kan “afleiden”. “Afgeleid” betekent in dit geval alles waarmee iemands identiteit kan worden vastgesteld.

Hoewel dit vanzelfsprekend lijkt, is PII in de VS nogal vaag gedefinieerd. Het kan daarom lastig zijn om te bepalen wat PII is en wat niet—vooral omdat verschillende contexten de betekenis van het delen van vertrouwelijke informatie kunnen veranderen.

BELANGRIJKSTE PUNTEN

  1. Standaard e-mail is van nature onveilig voor PII-overdracht

    Onversleutelde e-mail maakt gevoelige persoonlijke informatie kwetsbaar voor onderschepping, datalekken en schendingen van regelgeving.

  2. Juridische consequenties voor onjuiste omgang met PII zijn ernstig

    Organisaties riskeren aanzienlijke boetes onder GDPR, HIPAA en andere regelgeving, die kunnen oplopen tot miljoenen euro’s bij niet-naleving.

  3. End-to-end encryptie biedt de sterkste bescherming

    E2EE zorgt ervoor dat gegevens gedurende de hele overdracht versleuteld blijven, in tegenstelling tot TLS dat alleen gegevens beschermt tijdens het transport tussen servers.

  4. Veilige alternatieven voor e-mail verdienen de voorkeur

    Versleutelde portalen, beveiligde platforms voor bestandsoverdracht en met wachtwoord beveiligde bestanden bieden meer bescherming dan standaard e-mailbijlagen.

  5. Uitgebreide beveiliging vereist zowel technologie als training

    Naast encryptietools is regelmatige security awareness-training voor medewerkers essentieel om onbedoelde blootstelling van PII te voorkomen.

Wat is het verschil tussen Persoonlijk Identificeerbare Informatie (PII) en Beschermde Gezondheidsinformatie (PHI)?

Persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie (PII/PHI) zijn beide gevoelige gegevenssoorten, maar verschillen qua reikwijdte, context en wettelijke vereiste.

PII verwijst naar alle informatie waarmee een individu kan worden geïdentificeerd, op zichzelf of in combinatie met andere gegevens. Dit omvat namen, burgerservicenummers, adressen, telefoonnummers en e-mailadressen. PII valt onder diverse privacywetten afhankelijk van de sector en regio, zoals GDPR, CCPA en FISMA.

PHI daarentegen is een subset van PII die specifiek betrekking heeft op de gezondheid van een persoon. Het omvat medische dossiers, diagnoses, behandelgegevens, verzekeringsinformatie en alle gegevens die gekoppeld zijn aan iemands gezondheidstoestand of zorg. PHI wordt strikt gereguleerd onder de Health Insurance Portability and Accountability Act (HIPAA) in de VS en geldt alleen wanneer de gegevens worden verwerkt door zogenaamde “covered entities” (zoals zorgverleners, verzekeraars) of hun zakelijke partners.

Belangrijk verschil: Alle PHI is PII, maar niet alle PII is PHI. PHI moet gezondheidsgerelateerde gegevens bevatten en worden gecreëerd, ontvangen of beheerd door een “covered entity”.

Het begrijpen van dit onderscheid is essentieel voor het toepassen van de juiste privacymaatregelen, vooral in gereguleerde sectoren zoals de zorg.

NIST SP 800-122 Richtlijnen voor Categorisatie van PII

Het National Institute of Standards and Technology (NIST) verdeelt PII in twee categorieën: gekoppeld en ongekoppeld. Gekoppelde informatie kan direct de identiteit van iemand vaststellen. Voorbeelden van PII in deze categorie zijn:

  • Voor- en achternaam
  • Woonadres
  • Werkadres
  • Burgerservicenummer (SSN)
  • Telefoonnummer (werk, thuis of mobiel)
  • Informatie over persoonlijke eigendommen (bijv. voertuigidentificatienummers)
  • Geboortedatum
  • Krediet- of debetkaartnummers
  • E-mailadressen
  • IT-gerelateerde informatie (apparaat-specifieke MAC-adressen, IP-adressen, serienummers, enz.)

Ongekoppelde informatie is minder direct en vereist dat een externe partij twee of meer gegevens combineert om iemand te identificeren. Ongekoppelde informatie omvat:

  • Algemene voor- en achternamen
  • Etnische en geslachtscategorieën
  • Leeftijd
  • Functietitel
  • Algemenere adresgegevens (stad, provincie, land of postcode)

Ongekoppelde PII lijkt misschien “veiliger” dan gekoppelde PII, maar u weet nooit welke combinatie van ongekoppelde PII per ongeluk iemands identiteit onthult. Het is daarom belangrijk om platforms, tools en processen te gebruiken die gegevens beschermen binnen uw specifieke bedrijfsprocessen.

Met dat in gedachten wordt PII per privacyregelgeving iets anders gedefinieerd en behandeld:

  • Onder de Health Insurance Portability and Accountability Act (HIPAA) wordt PII beter begrepen als beschermde gezondheidsinformatie (PHI). HIPAA definieert PHI onder de Privacy Rule als alle informatie over de gezondheid, zorg of behandeling van een patiënt, of facturering en betaling gerelateerd aan gezondheid en behandeling.
  • De Payment Card Industry Data Security Standard (PCI DSS) legt de nadruk op betaalkaartgegevens, dus PII per e-mail verwijst bijna uitsluitend naar creditcardnummers in combinatie met naam, adres, telefoonnummer of e-mailadres waarmee een klant kan worden geïdentificeerd.
  • FedRAMP is onderverdeeld in drie impactniveaus: FedRAMP Lage Autorisatie, FedRAMP Matige Autorisatie en FedRAMP Hoge Autorisatie. PII-types verschillen per niveau. Veel FedRAMP Low Impact-systemen bevatten bijvoorbeeld geen PII behalve inloggegevens (gebruikersnaam en wachtwoord), terwijl FedRAMP High Impact-systemen gegevens zoals PHI kunnen verwerken. Toch is het e-mailen van PII onder FedRAMP verboden, tenzij deze versleuteld is.

Classificatie van gevoelige versus niet-gevoelige PII

Het onderscheid tussen gevoelige en niet-gevoelige PII is cruciaal voor passend gegevensbeheer en risicobeheer.

Gevoelige PII is informatie die, als deze verloren gaat, gecompromitteerd raakt of zonder toestemming wordt gedeeld, aanzienlijke schade, schaamte, ongemak of oneerlijkheid voor een individu kan veroorzaken. Voorbeelden zijn financiële rekeningnummers, burgerservicenummers, biometrische gegevens, medische informatie en rijbewijsnummers. Dit type PII valt vaak onder specifieke wettelijke bescherming, zoals de “speciale categorieën van persoonsgegevens” onder de GDPR (bijv. ras, religie, gezondheidsgegevens).

Vanwege het hoge risico bij blootstelling vereist gevoelige PII strenge beveiligingsmaatregelen, zoals sterke encryptie van gegevens in rust en onderweg, strikte toegangscontrole, uitgebreide audit logs en waar mogelijk datamasking of tokenisatie.

Niet-gevoelige PII daarentegen is informatie die, hoewel mogelijk identificerend, doorgaans openbaar beschikbaar is of waarvan openbaarmaking meestal geen grote schade veroorzaakt. Voorbeelden zijn postcodes, openbaar vermelde telefoonnummers of algemene functietitels. Hoewel bescherming nog steeds vereist is, zijn de beveiligingsmaatregelen voor niet-gevoelige PII doorgaans minder streng dan voor gevoelige PII. Het combineren van meerdere niet-gevoelige gegevens kan echter het risiconiveau verhogen, waardoor een zorgvuldige beoordeling noodzakelijk is.

Hoe PII binnen uw organisatie identificeren

Het identificeren van waar Persoonlijk Identificeerbare Informatie (PII) zich binnen uw organisatie bevindt, is een cruciale eerste stap in het beheren van gegevensprivacy, voldoen aan wettelijke verplichtingen en het verkleinen van risico’s. De onderstaande checklist biedt een gestructureerde aanpak voor het ontdekken, classificeren en documenteren van PII in systemen en bedrijfsprocessen:

  • Bepaal projectomvang en doelstellingen: Omschrijf duidelijk welke afdelingen, systemen (inclusief e-mailservers, databases, cloudopslag, applicaties van derden) en bedrijfsprocessen mogelijk PII verwerken. Begrijp de doelen, of het nu gaat om naleving van regelgeving, risicoreductie of dataminimalisatie.
  • Voer interviews met stakeholders: Ga in gesprek met sleutelfiguren uit diverse afdelingen (zoals HR, Finance, Marketing, IT, Juridisch) om te begrijpen hoe zij PII verzamelen, gebruiken, opslaan en verzenden, inclusief het versturen van PII via e-mail. Verzamel inzichten over gegevensstromen en waargenomen risico’s.
  • Gebruik geautomatiseerde detectietools: Zet gespecialiseerde software in om systemen, databases, bestandsdeling en eventueel e-mailarchieven te scannen op patronen die overeenkomen met bekende PII-types (zoals burgerservicenummers, creditcardnummers, specifieke trefwoorden). Deze tools versnellen het inventarisatieproces aanzienlijk.
  • Ontwikkel gegevensstroomdiagrammen: Visualiseer hoe PII binnenkomt, door de organisatie beweegt, wordt verwerkt en de organisatie verlaat. Let goed op overdrachtspunten, zoals e-mailgateways, API-integraties en delen met derden, om potentiële kwetsbaarheden te identificeren.
  • Classificeer geïdentificeerde PII: Categoriseer gevonden PII op basis van gevoeligheid (gevoelig versus niet-gevoelig) en relevantie voor regelgeving (bijv. GDPR, HIPAA, CCPA, enz.). Voorzie waar mogelijk gegevensopslagplaatsen van consistente classificatietags.
  • Documenteer bevindingen grondig: Houd een uitgebreide PII-inventaris bij met het type PII, locatie, eigenaar, doel van verwerking, bewaartermijn, beveiligingsmaatregelen en bijbehorende gegevensstromen. Deze documentatie is essentieel om naleving tijdens audits aan te tonen en risicobeoordelingen te onderbouwen.

Hoe definieert de General Data Protection Regulation (GDPR) PII?

Volgens de GDPR-regelgeving is persoonlijke data specifiek gekoppeld aan alle informatie “met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene) … direct of indirect.” De GDPR specificeert ook algemene items die onder persoonlijke data vallen, waaronder elke naam, ID-nummer, online identificatiecode of “één of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, economische, culturele of sociale identiteit van die natuurlijke persoon.”

Hoewel PII en persoonlijke data slechts licht verschillen, zijn de juridische gevolgen veel diverser. Alles waarmee iemand kan worden geïdentificeerd, wordt als persoonlijke data beschouwd en moet veilig, privé en vertrouwelijk blijven. Dit omvat zaken als security logs, toestemmingsformulieren, cookies en elke tag of token die wordt gebruikt om de aanwezigheid of ervaring van een klant op een online platform te behouden.

Het betekent ook dat u forse boetes kunt krijgen—tot 4% van uw totale omzet—voor het e-mailen van PII in strijd met de GDPR-regelgeving.

Lees meer over het delen van PII in overeenstemming met de GDPR: Hoe PII via e-mail verzenden in overeenstemming met de GDPR

Wat is het verschil tussen PII en Persoonsgegevens?

Hoewel PII in de Verenigde Staten wat vaag is gedefinieerd, heeft de Europese Unie stappen ondernomen om de definitie concreter te maken. Daarom wordt het concept “Persoonsgegevens”, zoals gedefinieerd in het General Data Protection Regulation (GDPR) framework, duidelijk vastgelegd in het juridische kader en herhaaldelijk genoemd in juridische documentatie en vereiste.

Encryptietechnieken om PII te beveiligen

Encryptie is een veelgebruikte techniek om persoonlijk identificeerbare informatie (PII) te beveiligen voordat deze via e-mail wordt verzonden. Het beschermen van PII is cruciaal omdat het gevoelige informatie bevat die schade kan veroorzaken als deze in verkeerde handen valt, zoals identiteitsdiefstal, creditcardfraude en andere kwaadwillige activiteiten. Encryptie biedt een extra beveiligingslaag voor e-mails met PII, zodat de informatie vertrouwelijk en veilig blijft. E-mailencryptie is een essentieel hulpmiddel voor organisaties om de vertrouwelijke informatie van hun klanten tijdens verzending te beschermen. Door PII te versleutelen, zorgen organisaties ervoor dat de informatie veilig is en niet toegankelijk voor onbevoegden. Hier zijn enkele veelvoorkomende manieren om PII te versleutelen:

Symmetrische encryptie voor het beschermen van PII

De symmetrische encryptietechniek gebruikt één geheime sleutel om zowel de inhoud te versleutelen als te ontsleutelen. Deze techniek is ideaal voor het beveiligen van PII omdat het vertrouwelijkheid en authenticiteit van de inhoud garandeert. De sleutel blijft geheim en is alleen toegankelijk voor geautoriseerde gebruikers.

Asymmetrische encryptie voor het beschermen van PII

De asymmetrische encryptietechniek gebruikt twee sleutels—één om de inhoud te versleutelen en de andere om deze te ontsleutelen. De verzender versleutelt de inhoud met de publieke sleutel van de ontvanger en de ontvanger ontsleutelt de inhoud met zijn of haar privésleutel. Deze techniek is vooral nuttig om PII-inhoud tijdens verzending te beveiligen.

Hashing voor PII-bescherming

Hashing is een techniek die een unieke digitale vingerafdruk van PII-inhoud creëert die niet kan worden teruggedraaid. Het is vooral nuttig voor het beveiligen van PII omdat zelfs als een aanvaller toegang krijgt tot de gehashte inhoud, het praktisch onmogelijk is om de oorspronkelijke inhoud te achterhalen.

Tokenisatie voor PII-bescherming

Tokenisatie vervangt gevoelige inhoud door een unieke identificatiecode, of token, die geen waarde of betekenis heeft buiten het systeem waarin het wordt gebruikt. Deze techniek is vooral nuttig voor het beveiligen van PII in opslag of tijdens transacties, omdat het ervoor zorgt dat de gevoelige inhoud beschermd blijft, zelfs als het systeem wordt gecompromitteerd. Tokenisatie maakt ook efficiëntere verwerking van transacties mogelijk en verkleint de kans op datalekken.

Beheer van encryptiesleutels voor PII-bescherming

Goed beheer van encryptiesleutels is essentieel voor het waarborgen van de veiligheid van versleutelde inhoud. Sleutels moeten veilig worden opgeslagen en alleen aan geautoriseerde partijen worden verstrekt. Sleutelrotatie en intrekking zijn ook belangrijk om te voorkomen dat gecompromitteerde sleutels de beveiliging van versleutelde gegevens in gevaar brengen.

Hoewel het implementeren van een combinatie van deze encryptietechnieken een sterke en uitgebreide beveiligingsstrategie voor PII kan opleveren, is het belangrijk om encryptiemethoden regelmatig te evalueren en bij te werken om ervoor te zorgen dat ze actueel en effectief blijven tegen opkomende bedreigingen.

E-mailalternatieven voor het verzenden van PII

Afzien van e-mail is wellicht de beste remedie voor het beschermen van PII.

Denk na over wat er nodig is om PII te verwerken: beveiligde servers, encryptie, beleid, procedures, audits en meer. Uw e-mailplatform moet daarom voldoen aan strenge beveiligingsvereiste. Het verzenden van PII via openbare e-mail voldoet niet aan enige privacyregelgeving, laat staan aan het waarborgen van de privacy van klanten.

Als u toch PII moet delen, overweeg dan enkele belangrijke alternatieven. Hoewel gegevensencryptie tijdens transport en in rust vanzelfsprekend is, moeten organisaties de volgende alternatieven overwegen voor het uitwisselen van PII in overeenstemming met regelgeving zoals GDPR, HIPAA, CCPA en andere:

SFTP of andere bestandsoverdrachten

SFTP, mits correct geconfigureerd, kan een veilige en conforme manier bieden om gegevens te delen en over te dragen. Beveiligde beheerde bestandsoverdracht (MFT) is een andere optie. Toch loopt u het risico de ontvanger af te schrikken. Geen enkele klant zal een MFT- of SFTP-oplossing gebruiken om gegevens te verwerken (tenzij ze actief zijn in een sector waar deze oplossingen de norm zijn).

Beveiligde e-maillinks

Beveiligde e-maillinks combineren het beste van beveiligde servers en e-mail in één pakket. In plaats van versleutelde gegevens te verzenden, stuurt de organisatie een beveiligde e-maillink naar een versleutelde server die het bericht bevat in een eenvoudige e-mailinbox. De gebruiker moet zich authenticeren om toegang te krijgen tot die server en het bericht met PII.

Deze laatste optie is de eenvoudigste en meest beheersbare manier om PII via e-mail te beschermen. Het haalt niet alleen de last bij de gebruiker weg om nieuwe technologieën te leren of te gebruiken, maar verschuift ook de verantwoordelijkheid van de gebruiker naar de IT-infrastructuur. Met beveiligde e-maillinks voldoet u ook aan andere e-mail compliance vereiste zoals audit logs en gebruikersbeheer.

Toegestane methoden voor het veilig e-mailen van PII

Het e-mailen van Persoonlijk Identificeerbare Informatie (PII) brengt inherente risico’s met zich mee als het niet goed wordt beveiligd. Om gegevensbescherming en naleving van regelgeving te waarborgen, moeten organisaties veilige methoden hanteren die zijn afgestemd op hun operationele behoeften en risicobereidheid. Hieronder staan enkele geaccepteerde benaderingen voor het verzenden van PII via e-mail, elk met een verschillend niveau van beveiliging, gebruiksgemak en implementatiecomplexiteit:

  • End-to-end versleutelde e-mail: Maakt gebruik van protocollen zoals S/MIME of PGP, of geïntegreerde platforms zoals Kiteworks Private Data Network, om de berichtinhoud van verzender tot ontvanger te versleutelen, oftewel end-to-end encryptie. Sluit goed aan bij de encryptievereiste van GDPR en HIPAA. E-mailencryptie kan installatie vereisen (sleuteluitwisseling) of compatibele software aan beide zijden. Vereist configuratie, sleutelbeheerbeleid en training van gebruikers.
  • Beveiligde webportalen: Ontvangers ontvangen een e-mailmelding met een link naar een beveiligd online portaal waar ze moeten inloggen (authenticatie) om het bericht te bekijken of bestanden met PII te downloaden. Biedt uitstekende controle, authenticatie en audit logs ter ondersteuning van naleving. Vereist dat ontvangers extra stappen ondernemen, namelijk multi-factor authentication (MFA) om in te loggen, wat minder handig kan zijn dan directe e-mail. Vereist ook een speciaal portaalplatform, gebruikersbeheer en duidelijke instructies voor ontvangers.
  • Met wachtwoord beveiligde bijlagen: Versleutel afzonderlijke bestanden (bijv. PDF’s, ZIP-archieven) met PII en bescherm ze met een sterk wachtwoord voordat u ze als bijlage bij een standaard e-mail voegt. Voldoet aan basisvereiste voor encryptie, maar hangt volledig af van veilige wachtwoordoverdracht; vaak onvoldoende voor strikte regelgeving als het wachtwoordbeheer zwak is. Gebruiksgemak is relatief eenvoudig, maar vereist afstemming tussen verzender en ontvanger voor het wachtwoord. Gebruikers moeten weten hoe ze bestanden kunnen versleutelen en het wachtwoord via een apart, veilig kanaal (bijv. telefonisch, SMS) verzenden. Het wachtwoord in dezelfde of een andere e-mail sturen maakt de beveiliging ongedaan.
  • Zero Trust-bestandslinks (beveiligde links): Vergelijkbaar met portalen, maar vaak gericht op bestandsoverdracht. De e-mail bevat een unieke, vervallende link die de ontvanger naar een beveiligde server leidt om het bestand met PII te downloaden, vaak met authenticatie. Biedt sterke beveiliging, controleerbaarheid en toegangscontrole, en sluit goed aan bij compliance-eisen. Gebruiksgemak is doorgaans hoog, vaak geïntegreerd in beveiligde platforms voor bestandsoverdracht of contentnetwerken. Wordt meestal geïmplementeerd als onderdeel van een beveiligde bestandsoverdrachtoplossing of Private Data Network-platform zoals Kiteworks, vereist platforminrichting en beleidsconfiguratie.

Juridische en compliance-kwesties bij het verzenden van PII via e-mail

Het verzenden van PII via e-mail kan onveilig zijn en leiden tot ongeautoriseerde toegang tot privé en vertrouwelijke gegevens. De meeste e-maildiensten zijn niet versleuteld en kunnen daarom tijdens verzending worden onderschept, waardoor hackers toegang krijgen tot gevoelige gegevens. Er zijn andere risico’s waarmee organisaties worden geconfronteerd bij het verzenden van PII via e-mail, waaronder:

  1. Gegevensbescherming: Het verzenden van PII via e-mail kan in strijd zijn met privacywetten in de rechtsbevoegdheid waar de verzender de gegevens ontvangt. Gegevensbeschermingsregelgeving en standaarden kunnen vereisen dat de verzender extra maatregelen neemt om te waarborgen dat de e-mail veilig is en dat gegevens niet ongepast worden gedeeld.
  2. Privacy en toestemming: Het verzenden van PII via e-mail kan in strijd zijn met privacy- en toestemmingswetten in de rechtsbevoegdheid waar de verzender de gegevens ontvangt. In sommige gevallen moet toestemming van de gebruiker worden verkregen voordat persoonlijke gegevens kunnen worden verzonden.
  3. Anti-spamwetgeving: Het verzenden van PII via e-mail kan in strijd zijn met anti-spamwetgeving in de rechtsbevoegdheid waar de verzender de gegevens ontvangt. Ongevraagde e-mails kunnen verboden zijn en e-mails met PII moeten in overeenstemming met de wet worden verzonden.
  4. Internationale overdracht: Het verzenden van PII via e-mail kan ook het verplaatsen van gegevens tussen landen inhouden, wat extra juridische en compliance-verplichtingen met zich meebrengt, zoals de EU General Data Protection Regulation (GDPR).

PII E-mail Compliance Checklist

E-mail blijft een veelgebruikt maar risicovol kanaal voor het verzenden van persoonlijk identificeerbare informatie (PII). Om blootstelling te beperken en te voldoen aan regelgeving, moeten organisaties strikte procedures voor e-mailbeheer hanteren. De volgende checklist beschrijft essentiële stappen om PII veilig te beheren in e-mailcommunicatie—van het minimaliseren van gedeelde gegevens tot het waarborgen van encryptie, toestemming en goed toezicht:

  1. Bevestig noodzaak en minimaliseer gegevens: Controleer voordat u PII via e-mail verzendt of het absoluut noodzakelijk is. Onderzoek alternatieve methoden. Als e-mail vereist is, verstuur dan alleen de minimale hoeveelheid PII die nodig is voor het specifieke doel (dataminimalisatieprincipe).
  2. Verkrijg expliciete toestemming (indien van toepassing): Zorg dat u expliciete toestemming van de betrokkene heeft voor het verzenden van hun PII via e-mail, vooral onder regelgeving zoals GDPR, tenzij een andere wettelijke grondslag geldt. Documenteer deze toestemming.
  3. Verifieer identiteit en adres van de ontvanger: Controleer het e-mailadres van de ontvanger zorgvuldig op juistheid. Neem maatregelen om de identiteit van de ontvanger te verifiëren, vooral bij zeer gevoelige PII. Vermijd waar mogelijk het verzenden naar algemene of groepsadressen.
  4. Verplicht gebruik van goedgekeurde veilige methoden: Handhaaf beleid dat het gebruik van specifieke, goedgekeurde veilige transmissiemethoden vereist, zoals e-mailoplossingen met end-to-end encryptie, beveiligde portalen of beveiligde bestandslinks. Verbied het verzenden van gevoelige PII via standaard, onversleutelde e-mail.
  5. Pas sterke encryptie toe: Zorg ervoor dat PII wordt beschermd met geavanceerde encryptie, zowel tijdens verzending als in rust. Voor encryptie van gegevens tijdens verzending is TLS standaard, maar alleen niet voldoende voor gevoelige gegevens. Voor encryptie van gegevens in rust is AES-256 Encryptie toonaangevend. Gebruik end-to-end encryptie voor de e-mailtekst of versleutel bijlagen met PII.
  6. Beveilig bijlagen goed: Als u PII in bijlagen verzendt, gebruik dan sterke encryptie (bijv. AES-256 Encryptie) en een robuust wachtwoord. Stuur het wachtwoord via een apart, veilig kanaal (bijv. telefonisch, beveiligde berichtenapp) – nooit in dezelfde of een andere e-mail.
  7. Implementeer Preventie van gegevensverlies (DLP): Gebruik DLP-tools om uitgaande e-mails te monitoren, potentiële PII te detecteren en berichten automatisch te blokkeren of te versleutelen volgens beleid, om onbedoelde blootstelling te beperken.
  8. Bied regelmatige gebruikersopleiding: Informeer medewerkers over de risico’s van het e-mailen van PII, toepasselijke regelgeving, organisatiebeleid en de juiste procedures voor het gebruik van veilige methoden. Security awareness-trainingen moeten de vraag benadrukken: “is het veilig om vertrouwelijke informatie in een e-mail te versturen” zonder de juiste beveiliging? (Antwoord: Nee).
  9. Beheer uitgebreide audit logs: Zorg dat uw e-mailbeveiligingsoplossing alle relevante activiteiten logt, inclusief verzender, ontvanger, tijdstip, PII-detectie (indien van toepassing) en genomen beveiligingsmaatregelen (bijv. toegepaste encryptie). Bewaar audit logs zoals vereist door regelgeving en intern beleid.
  10. Beheer encryptiesleutels veilig: Als u methoden gebruikt die sleutelbeheer vereisen (bijv. S/MIME, PGP), stel dan veilige processen in voor sleutelgeneratie, distributie, opslag, rotatie en intrekking.

NIST PII-standaarden voor het beschermen van PII

Het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) en het NIST Privacy Framework bieden PII-standaarden voor het beschermen van de PII van individuen. Het framework biedt organisaties richtlijnen bij het ontwerpen en implementeren van een informatiebeveiligingsprogramma. De PII-standaarden bevatten controles voor het beschermen van PII op gebieden zoals gegevensverzameling, gegevensopslag, gegevensoverdracht, softwareontwikkeling, fysieke toegangscontrole, toegangscontrollijsten en encryptie. De standaarden specificeren ook audit- en rapportagevereiste.

Organisaties moeten overwegen het NIST CSF en de bijbehorende PII-standaarden te implementeren om PII te beschermen, omdat het uitgebreide en toepasbare richtlijnen zijn, opgesteld door een betrouwbare en gezaghebbende bron, die een solide basis bieden voor veilige en verantwoorde omgang met gevoelige klantgegevens. Het volgen van deze standaarden kan organisaties beschermen tegen potentiële beveiligingsrisico’s en datalekken. Daarnaast hanteren privacyregelgeving zoals HIPAA de PII-standaarden van het NIST CSF als minimumniveau voor organisaties die PII verwerken, zodat naleving van de NIST CSF-standaarden organisaties kan helpen hoge boetes te voorkomen bij overtreding van deze regelgeving.

Verstuur beveiligde e-mail met Kiteworks

Het Kiteworks Private Data Network biedt geavanceerde bescherming en compliance voor gevoelige inhoud, zoals persoonlijk identificeerbare informatie (PII) en andere vertrouwelijke informatie die ondernemingen delen met vertrouwde partners via diverse communicatiekanalen.

Kiteworks beveiligde e-mail en Kiteworks beveiligde bestandsoverdracht voldoen aan diverse belangrijke compliance vereiste zonder concessies te doen aan gebruiksgemak of enterprise-functionaliteit.

Kiteworks combineert ook een Hardened Virtual Appliance, end-to-end encryptie en audit logs om ervoor te zorgen dat medewerkers veilig PII en andere vertrouwelijke informatie kunnen delen, samenwerken en beheren vanaf elk apparaat of locatie.

Bovendien automatiseert de Kiteworks Email Protection Gateway e-mailbeveiliging met end-to-end encryptie om privé e-mailinhoud te beschermen tegen cloudserviceproviders en malware-aanvallen.

Kiteworks biedt daarnaast gedetailleerd inzicht in alle bestandsactiviteiten—wie wat naar wie, wanneer en hoe heeft gestuurd—om te waarborgen dat documenten voldoen aan branchevoorschriften en standaarden, zoals GDPR, HIPAA, het Cybersecurity Maturity Model Certification (CMMC) en vele andere. Dit maakt Kiteworks tot een onmisbaar hulpmiddel voor organisaties die PII moeten beschermen en compliance met relevante regelgeving moeten aantonen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks