Close
Close
Linkedin
Close
Close

Email blijft een van de grootste oorzaken van datalekken

Iedereen krijgt wel eens een e-mail die niet voor hem bedoeld is. Of je ziet ineens je eigen adres in een CC-lijst met tientallen andere adressen. Zulke ogenschijnlijk kleine slordigheden kunnen grote gevolgen hebben. In dit artikel laten we de impact zien en hoe problemen te voorkomen.
Prevent e-mail related data breaches!

E-mail is snel, laagdrempelig en zit in elke workflow. Precies dáárom is het ook een hardnekkige bron van datalekken: één verkeerd gekozen ontvanger, één “reply all”, één bijlage te veel en vertrouwelijke informatie staat buiten je organisatie.

De cijfers onderstrepen dat dit geen incidenten aan de randen zijn. In de eerste helft van 2024 ontving de Autoriteit Persoonsgegevens ruim 9,8 duizend datalekmeldingen18% daarvan ging over incidenten met persoonsgegevens in e-mail (bijv. verstuurd naar een verkeerde ontvanger) goed voor 1.760 meldingen in zes maanden. 
In eerdere berichtgeving over de AP-datalekrapportage werd dit aandeel rond de 16% genoemd voor fouten zoals “verkeerde ontvanger” of ontvangers zichtbaar in Aan/CC

Wat opvalt: bij veel meldingen is de schade niet “high-tech”, maar juist menselijk en procesmatig. In dezelfde CBS/AP-cijfers geeft de melder in 88% van de datalekmeldingen aan dat er vooraf geen maatregelen waren getroffen om gegevens te versleutelen, hashen of anders ontoegankelijk te maken.t.

Onbewuste fouten met grote impact

Iedereen krijgt wel eens een e-mail die niet voor hem bedoeld is. Of je ziet ineens je eigen adres in een CC-lijst met tientallen andere adressen. Zulke ogenschijnlijk kleine slordigheden kunnen grote gevolgen hebben, omdat e-mail:

  • Niet “terug te draaien” is: eenmaal afgeleverd staat het in een inbox, (mobiele) cache, back-up of archief.
  • Vaak bijlagen kopieert naar meerdere plekken (mailserver, endpoint, cloud sync).
  • Makkelijk doorgestuurd kan worden, bewust of per ongeluk.
  • In de praktijk zelden volledig end-to-end beschermd is.

Zelfs als je mailtransport technisch goed is ingericht, blijft de kern: als je naar de verkeerde persoon mailt, is “beveiligd transport” geen vangnet meer, je hebt het dan gewoon aan de verkeerde geleverd.

Waarom e-mail zo vaak misgaat

De meest voorkomende oorzaken zijn voorspelbaar (en juist daarom zo lastig):

Auto-complete en contactverwarring
Eén verkeerde “Hennie Jansen” uit de suggestielijst en je zit mis, zeker bij externe contacten, aliassen of oude adressen.

CC/BCC-fouten
Bij groepsmails worden adressen zichtbaar voor anderen, waardoor je onbedoeld persoonsgegevens deelt (e-mailadressen zijn vaak al persoonsgegevens, zeker in combinatie met context).

Bijlagen en exports
Een Excel-export met BSN’s, salarisgegevens of dossiers is in één klik meegestuurd. In de CBS/AP-cijfers komen BSN (29%) en financiële gegevens (29%) relatief vaak voor als betrokken gegevens. 

Thread-risico (forward/reply all)
Oude bijlagen of gevoelige context “reist mee” in de conversatie.

Wat zij de gevolgen?

1) Wettelijke verplichtingen (AVG)

Bij een datalek geldt doorgaans: beoordelen, vastleggen, mitigeren en soms melden.

  • Je moet een datalek zonder onredelijke vertraging en waar mogelijk binnen 72 uur melden bij de toezichthouder, tenzij het onwaarschijnlijk is dat het lek een risico oplevert voor rechten en vrijheden van personen. 
  • Als het lek waarschijnlijk een hoog risico oplevert, moet je ook de betrokkenen onverwijld informeren

2) Financiële en reputatieschade

Overtredingen kunnen leiden tot hoge boetes: de AVG kent maxima tot €20 miljoen of 4% van de wereldwijde jaaromzet (welke hoger is, afhankelijk van de categorie overtreding). 
Daarnaast zijn er indirecte kosten: incident response, juridische ondersteuning, claims, herstelacties, en vooral vertrouwensverlies bij klanten/partners.

3) Misbruik door cybercriminelen

Gelekte e-mailadressen en context worden vaak hergebruikt voor:

  • gerichte aanvallen (bijv. “CEO-fraude”/factuurfraude).
  • phishing en spearphishing,
  • identiteitsfraude,

De veilige keuze: Secure File Sharing (email uit de keten halen voor gevoelige data)

Wil je het risico structureel verlagen, dan is de meest robuuste stap: email niet langer als standaardkanaal gebruiken voor gevoelige informatie.

Een oplossing zoals Msafe Secure File Transfer (buiten traditionele mailstromen) past in een “secure sharing”-aanpak waarbij je:

  • documenten deelt via een beveiligde omgeving,
  • ontvangers verifieert,
  • rechten afdwingt (view/download),
  • toegang kunt intrekken,
  • logging/audit trails hebt voor accountability.

Daarmee haal je het grootste faalmechanisme uit e-mail de combinatie van mens + bijlage + verkeerd adres en maak je “veilig werken” de makkelijke default.

Beperk risico’s en verhoog bewustzijn

Gebruikers awareness is essentieel. Medewerkers moeten getraind worden in het herkennen van gevoelige informatie en het veilig delen van gegevens. Veilig werken bestaat niet uit één maatregel op oplossing. Het is een combinatie van gedrag, bewustzijn en de juiste tools.

Share:

More Posts

KPMG-onderzoek- waarom compliance in 2026 vraagt om Secure File Sharing
Blog

KPMG-onderzoek: waarom compliance in 2026 vraagt om Secure File Sharing

Waarom is een Secure File Sharing oplossing niet meer weg te denken in een goed Compliance beleid? KPMG zegt in essentie dat organisaties te maken krijgen met meer compliance-druk, hogere eisen aan privacy en cybersecurity, en een groeiende behoefte aan monitoring, rapportage en controle. Onze Msafe Secure File Transfer oplossing is perfect voor een omgeving waarin gevoelige bestanden versleuteld, toegangsgecontroleerd en volledig traceerbaar worden uitgewisseld.

Read More »
26 maart 2026
Secure file sharing automatiseren met de Msafe API
Blog

Secure file sharing automatiseren met de Msafe API

Steeds meer organisaties willen het delen van bestanden automatiseren. Niet langer handmatig uploaden, versturen en opslaan, maar secure file sharing direct integreren in bestaande processen en systemen. Met de API van Msafe wordt dat mogelijk. Via een API kunnen applicaties automatisch bestanden uploaden, delen en koppelen aan interne systemen zoals CRM- of documentmanagementsystemen.

Read More »
12 maart 2026
Kan de US zomaar bij Msafe data
Blog

Kan de US zomaar bij Msafe data?

Uw data staat bij Msafe op Microsoft Azure in Nederland, met Microsoft Ireland als contractpartij. Toch horen we vaak de vraag: kan Amerikaanse wetgeving, zoals de U.S. CLOUD Act, invloed hebben op de soevereiniteit van klantdata? In dit artikel leggen we helder uit wat de VS wel en niet kan afdwingen, waarom data‑locatie niet hetzelfde is als jurisdictie, en hoe vaak dit in de praktijk voorkomt. We laten ook zien welke maatregelen Msafe inzet om risico’s te minimaliseren: EU‑hosting, client‑side/end‑to‑end encryptie, strikte toegang met MFA en policies, en volledige audit trails. Zodat u veilig kunt delen én aantoonbaar compliant blijft.

Read More »
26 februari 2026
waarom email verouderde technologie is
Blog

Waarom email verouderde technologie is

Email is nog steeds het standaardkanaal in vrijwel elke organisatie, maar het is technisch en organisatorisch ontworpen voor een internet waar “vertrouwen” de default was. In 2026 is de realiteit anders: email is tegelijk productiviteitsrem, risicoversneller en compliance-hoofdpijndossier.

Read More »
12 februari 2026
Alternatief voor Zivver?
Blog

Alternatief voor Zivver?

Msafe Secure File Transfer is vooral een logisch alternatief voor Zivver
wanneer je bestandsuitwisseling met externen wil standaardiseren met sterke governance en EU-hosting als expliciet uitgangspunt.

Read More »
5 februari 2026