Verzekeraar stuurt al je persoonlijke gegevens via e-mail

  • 3 min. leestijd

Nationale Nederlanden vraagt zijn verzekerden om persoonlijke gegevens via e-mail te bevestigen. De verzekeraar stuurt een mailtje met daarin NAW-gegevens, BSN-nummers, bankrekeningnummers en polisnummers. 'In een tijd als deze met het gevaar van identiteitsdiefstal een onbegrijpelijke situatie' mailt een verontruste consument. Hoe veilig is het om via e-mail dit soort gevoelige gegevens door te sturen?

Onze consument heeft een lijfrentepolis die afloopt na twintig jaar. Hij vroeg aan een bank om een offerte op te maken voor een bankspaarproduct. Nationale Nederlanden stuurt hem een formulier voor zijn persoonlijke gegevens. Hij vult het formulier in en stuurt het per post terug. De verzekeraar bevestigt per mail vervolgens de gegevens van hun klant. Alle persoonlijke gegevens staan in de mail: zijn naam, die van zijn vrouw, geboortedatum, naam van de ouders, geboorteplaats, NAW-gegevens, BSN-nummers en bankrekeningnummers.

'Geen flauw idee'

'Nationale Nederlanden heeft geen flauw idee hoe ze met dit soort gegevens moeten omgaan', zegt onderzoeksjournalist Brenno de Winter. Heel veel bedrijven communiceren op deze manier en staan er niet bij stil dat mailcommunicatie standaard niet versleuteld is. Als je computer gehackt wordt of de mail wordt door criminelen onderschept, dan liggen je gegevens op straat.

Let op het veiligheidsniveau

Bedrijven en overheidsinstellingen kunnen op diverse manieren communiceren met hun klanten en burgers.

  • Niveau 1: versturen via gewone e-mail. Dit is meestal geen goed idee, want er is geen versleuteling en deze manier van communiceren is makkelijk te hacken.
  • Niveau 2: communiceer via de website. Als de website versleuteld is, is dat nog veiliger. Bedrijven kunnen ook een veilige eigen omgeving maken waar mensen op moeten inloggen. Dat beperkt de risico's.
  • Niveau 3: maak gebruik van een dubbele verificatie zoals bij DigiD. Daar kan je het inlogproces beter beveiligen door middel van een smsje met een code.

Wat kan de consument doen?

De Winter zegt dat je altijd een klacht in moet dienen bij het bedrijf of de overheidsinstelling als je van mening bent dat ze onveilig met persoonsgegevens omgaan. 'In de praktijk zal dat als individu niet zoveel helpen, maar als iedereen het doet gaat er wel iets veranderen.'

Sociale hygiëne

'Je moet geen documenten versturen via e-mail. Gebruik e-mail alleen als communicatiemiddel', zegt Brenno de Winter. Met sociale hygiëne doelt De Winter er op dat communicatiemiddelen als Facebook, WhatsApp en e-mail alleen gebruikt moeten worden om te communiceren. 'Sla daar geen documenten in op.'

Reactie Autoriteit Persoonsgegevens

De wet zegt dat privacygevoelige gegevens beveiligd moeten worden 'conform de stand van de techniek'. De Autoriteit Persoonsgegevens bevestigt dit en adviseert te letten of de verbinding versleuteld is en of de url begint met https. 'Als het gaat om e-mailverkeer en er zijn geen maatregelen getroffen, dan zijn er inderdaad risico's.' De Autoriteit Persoonsgegevens gaat in gesprek met branches waar dit voorkomt om hierover afspraken te maken.

Reactie Nationale Nederlanden

De verzekeraar zegt dat het werkt aan een beveiligde omgeving, maar dat nog lang niet alle producten en diensten hierin staan, waaronder polisbladen en verzekeringen.

Gerelateerd
Meer over
e-mailpersoonsgegevensprivacySociale hygiene