Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

E-mail Compliance Vereisten voor Bedrijven

Home Woordenlijst Vereisten voor e-mailnaleving voor bedrijven

E-mailnaleving gaat verder dan alleen het naleven van regels voor marketingmails. E-mailnaleving omvat ook dagelijkse communicatie.

Wat is e-mailnaleving? E-mailnaleving is het naleven van specifieke protocollen in privacywetten en regelgevende normen. Deze normen kunnen branchespecifiek zijn, zoals HIPAA of PCI, of regiogebonden, zoals GDPR.

Waarom is e-mailnaleving belangrijk?

Nalevingsnormen bevatten vrijwel altijd een vorm van gegevensprivacy. Met digitale technologie is informatiebeveiliging nog belangrijker geworden. Daarom vereisen de meeste regelgeving een vorm van gegevensbescherming bij het verzenden van persoonlijk identificeerbare informatie (PII) via elk kanaal.

In veel gevallen kunnen beveiligingsmaatregelen binnen een relatief beperkte reikwijdte functioneren. Encryptie voor bestandsoverdracht of dataservers is vaak beperkt tot specifieke technologieën of cloudomgevingen, en interne beveiliging kan deze gegevens beschermen.

/wp-content/uploads/2022/01/Email-compliance-glossary.webp

De rol van persoonlijk identificeerbare informatie

Er zijn meer zorgen rondom e-mail PII. Om te beginnen zijn e-mails standaard niet versleuteld, tenzij ze via een versleutelde server worden verzonden. In tegenstelling tot systemen voor bestandsoverdracht vereist e-mailencryptie dat zowel de verzender als de ontvanger dezelfde encryptiemethode gebruiken om de beveiliging te waarborgen. Omdat e-mail zo wijdverspreid is, vinden veel e-mailproviders, zowel publiek als privaat, het erg lastig om encryptie goed op elkaar af te stemmen.

Daarnaast wordt e-mail, als een van de meest gebruikte communicatiemiddelen op internet, vaak door gereguleerde organisaties gebruikt om met het publiek te communiceren. Deze organisaties hebben geen controle over e-mailsystemen buiten hun eigen omgeving, waardoor ze de beveiliging of privacy van die informatie niet kunnen garanderen.

Tot slot bevatten veel regelgeving ook vereisten voor gegevensbewaring en archivering, en publieke of externe aanbieders bieden deze functies mogelijk niet standaard aan—of alleen tegen extra kosten.

E-mailnaleving is ontzettend belangrijk omdat veel mensen afhankelijk zijn van e-mail. Het is immers doorgaans niet veilig en vormt een potentieel kwetsbare plek voor veel organisaties.

Welke privacywetten beïnvloeden e-mailcommunicatie?

Nalevingsvereisten zijn niet uniform voor alle sectoren of toepassingen. Organisaties moeten de specifieke verplichtingen en vereisten van hun branche begrijpen om naleving goed te kunnen inrichten.

Enkele regelgevende vereisten zijn onder andere:

Health Insurance Portability and Accountability Act

Volgens HIPAA-regelgeving moeten zorgverleners patiëntgegevens beschermen tegen ongeoorloofde openbaarmaking, waardoor het gebruik van niet-versleutelde e-mails wordt uitgesloten. Veel van deze organisaties maken gebruik van versleutelde servers, private datacenters en beveiligde links die patiënten doorverwijzen naar interactieve portalen als onderdeel van een HIPAA-conform e-mail beleid. Met deze links kunnen zorgverleners patiënten naar hun beveiligde systemen leiden zonder risico op openbaarmaking of schending van regelgeving.

Payment Card Industry Data Security Standard

Meestal zal een organisatie nooit betalingsinformatie naar een klant sturen. Intern zetten conforme organisaties echter beveiligde omgevingen op voor kaarthoudergegevens waarin betalingsinformatie wordt opgeslagen. E-mail in deze omgevingen moet voldoen aan de encryptievereisten van de Payment Card Industry Data Security Standard (PCI DSS).

General Data Protection Regulation

De General Data Protection Regulation (GDPR) is een compliance framework van de Europese Unie dat bekend staat om zijn strikte informatiecontroles. Naleving onder GDPR werkt in twee verschillende contexten: 

  • Beveiliging en encryptie: Consumentengegevens moeten door bedrijven worden beschermd tijdens verzending en verwerking, inclusief communicatie. E-mails moeten daarom worden versleuteld en alle kritieke, privé-informatie moet op de server en tijdens verzending worden afgeschermd.
  • Marketing en toestemming: GDPR vereist ook een “opt-in”-benadering voor marketing, waarbij bedrijven e-mail niet mogen gebruiken voor marketingdoeleinden zonder uitdrukkelijke toestemming van de consument. Dit verschilt aanzienlijk van Amerikaanse wetten, die bedrijven toestaan gebruikers toe te voegen aan marketingdatabases en alleen een opt-out mogelijkheid bieden.

Een vergelijkbare wet, de Privacy- en elektronische-communicatieregelgeving uit 2003, deed in het Verenigd Koninkrijk grotendeels hetzelfde vóór de komst van de Europese Unie, door directe toestemming te vereisen voor marketingdoeleinden.

Een andere vergelijkbare wet, de California Consumer Privacy Act, vereist strengere e-mailcontroles voor marketing, vergelijkbaar met de GDPR. De CCPA is echter alleen van toepassing op bedrijven die actief zijn in de staat Californië.

Federal Risk and Authorization Management Program en Cybersecurity Maturity Model Certification

Zowel FedRAMP als CMMC zijn overheidsregelingen. De eerste reguleert cloudproducten en -diensten die door federale instanties worden gebruikt, de tweede reguleert aannemers die digitale diensten leveren in de toeleveringsketen van het ministerie van Defensie.

In beide gevallen zijn deze frameworks gebaseerd op normen uit documenten van het National Institute of Standards and Technology: NIST 800-53 en NIST 800-171. Beide documenten schrijven encryptie voor e-mails voor en verbieden het verzenden van beschermde gegevens via onbeveiligde e-mails, zowel intern als extern.

Daarnaast bevatten beide frameworks regels voor e-mail en kwetsbaarheidsscans.

Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM)

Deze algemene marketingwet, aangenomen door het Congres in 2003, reguleert hoe marketeers in de VS e-mails mogen versturen. Dit omvat onder andere het verplicht stellen van opt-out lijsten, correcte e-mailinhoud (inclusief onderwerp en “Van”-informatie), en beperkingen op het maskeren van headerinformatie of het versturen naar verzamelde accounts.

E-mail en gegevensbewaring

Regelgeving bevat vaak een bewaarbeleid. Organisaties moeten alle e-mailcommunicatie gedurende een bepaalde periode bewaren, meestal in gevallen waarin bewijs nodig kan zijn voor juridische procedures of onderzoeken.

Enkele frameworks die e-mailbewaring vereisen zijn onder andere:

Regelgeving

Op wie van toepassing

Verplichte bewaartermijn e-mail

Freedom of Information Act (FOIA)

Federale en staatsinstanties

3 jaar

Sarbanes-Oxley Act (SOX)

Alle beursgenoteerde bedrijven

7 jaar

Federal Deposit Insurance Corporation Regulations (FDIC)

Financiële instellingen

5 jaar

Health Insurance Portability and Accountability Act (HIPAA )

Zorgverleners, verzekeraars en leveranciers die patiëntinformatie beheren

7 jaar

Payment Card Industry Data Security Standard (PCI DSS)

Elk bedrijf dat creditcardbetalingen verwerkt of opslaat

1 jaar

IRS Reporting Regulations

Alle bedrijven in de Verenigde Staten

7 jaar

CMMC en andere defensieregelgeving

DoD-aannemers

3 jaar

Bewaartermijnen kunnen per rechtsbevoegdheid verschillen. Zo bevat de GDPR specifieke regels die beperken hoe bedrijven consumenteninformatie mogen bewaren en verwerken—namelijk, niet langer dan redelijk is voor het opgegeven doeleinde. Daarom kent de GDPR geen verplichte minimale of maximale bewaartermijn voor e-mail.

Uitdagingen en beste practices voor e-mailnaleving

Veel organisaties weten niet precies wie verantwoordelijk moet zijn voor naleving, waardoor ze moeite hebben met bepaalde aspecten van compliance.

In het algemeen zijn er enkele uitdagingen bij e-mailnaleving:

  1. Training en informatie: Werknemers moeten worden geïnformeerd over welke informatie zij wel of niet via e-mail mogen delen en hoe ze e-mailtechnologie correct gebruiken om encryptie of beveiligingsnormen te handhaven.
  2. Automatisering en bewaring: Het is niet realistisch om van gebruikers te verwachten dat zij alle e-mails bewaren; bij honderdduizenden e-mails per jaar zullen er altijd enkele verloren gaan. Door automatisering en veilige opslag in te richten kunnen organisaties voldoen aan bewaarplichten zonder medewerkers of beheerders te belasten.
  3. Bewijs van toestemming bewaren: In rechtsbevoegdheden zoals de Europese Unie moeten bedrijven bewijs van toestemming hebben voor marketingmails. Dit moet worden geïntegreerd in CRM’s of andere conforme systemen, zodat alle registraties beschikbaar zijn als er een audit of bezwaar van een consument komt.

E-mailnaleving begint met compliance tools

Het versturen van conforme e-mails kan een ontmoedigende taak lijken. Door echter vanaf het begin gebruik te maken van conforme technologieën en automatisering, kan een organisatie valkuilen bij naleving vermijden en toch e-mail blijven inzetten voor communicatie met klanten en medewerkers.

Het Kiteworks-platform stelt organisaties in sectoren als defensie en overheid, technologie, zorg, life sciences en farmaceutische industrie en juridische dienstverlening in staat om e-mailnaleving te waarborgen. Het Kiteworks-platform gebruikt een systeem van beveiligde e-maillinks, beschermde servers, datamonitoring en analyses om te garanderen dat er geen gevoelige informatie via e-mail wordt vrijgegeven en dat toestemming en opt-in documentatie wordt vastgelegd in een onveranderlijke audit log.

Meer weten over Kiteworks? Vraag een gepersonaliseerde demo aan.

 

Terug naar de Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks