Laatste update op 28 januari 2019

Als je namens jouw organisatie vertrouwelijke gegevens met anderen moet uitwisselen, wil je de bestandsuitwisseling graag veilig doen, zeker als het om persoonsgegevens gaat.

De Algemene Verordening Gegevensbescherming (AVG) vertelt niet precies op welke manier je dat moet doen, behalve dat het op een veilige manier moet gebeuren. Een manier die recht doet aan de stand der techniek.

In dit artikel krijg je verschillende oplossingen aangedragen. Vraag als het kan altijd na hoe je eigen organisatie wil omgaan met bestandsuitwisseling, vaak is er beleid en kan de afdeling Automatisering je vertellen hoe je bestanden mag uitwisselen. De vuistregel is dat je voor zakelijk uitwisselen kiest voor betaalde diensten. De meeste bekende gratis diensten zijn alleen geschikt voor privégebruik (dus ook niet voor de zwem- of voetbalclub).

Platform voor bestandsuitwisseling

Als je een dienst als WeTransfer of Filemail  gebruikt, zorg er dan voor dat je controle over je bestand houdt. De gratis edities van die diensten versleutelen je bestand misschien wel op hun servers, maar toch zijn ze niet veilig, want:

  • geen wachtwoordscherming
  •  geen grip op de beschikbaarheidstijd van het bestand

Stel dat je bij het uploaden van het bestand per abuis toch een verkeerd e-mailadres invult: de downloadlink blijft dan gedurende een bepaalde periode beschikbaar en het bestand is uitleesbaar voor iedereen met de link. Niet handig als je een fantastisch ontwerp voor een nieuw product geheim wilt houden of als je persoonsgegevens in het bestand hebt staan (datalek).

Kies dus voor zakelijke gebruik altijd de betaalde versie of voor een volledig betaalde dienst, zoals FileCap (die biedt zelfs extra veiligheid via een SMS-code, zogenaamde 2FA, tweefactorauthenticatie).

Zelf een downloadlink aanbieden

Je kunt ook een link aanbieden die rechtstreeks naar je bestand op je eigen systeem leidt. Zo kan de externe partij het bestand rechtstreeks uit jouw bestandenlijst downloaden. Dat kan bijvoorbeeld via Dropbox, maar ook hier geldt dat de gratis versie niet bedoeld is voor zakelijk gebruik. Kies dan liever voor Stack van TransIP, een Nederlandse organisatie. Stack geeft je controle over de bestandsuitwisseling via wachtwoord, beschikbaarheidstijd en de mogelijkheid tot 2FA.

Een los bestand beveiligen

Wil je toch de gratis dienst gebruiken? Beveilig het bestand dan eerst met een wachtwoord voordat je het aanbiedt en stuur het wachtwoord apart toe via SMS. Je kunt een enkel Office-bestand in een wip versleutelen, hversleutelenet zijn maar drie handelingen:

  • ga in de menubalk naar bestand
  • kies ‘info’
  • kies ‘bestand beveiligen, versleutelen met een wachtwoord’ en sla op

Tip: houd je originele bestand en maak een kopie die je beveiligt en verstuurt. Je kunt de kopie vervolgens veilig uit je bestandenlijst en je mail verwijderen; het origineel blijft zonder wachtwoord voor jezelf beschikbaar. Doe je dit niet, dan heb je grote kans dat je het bestand een halfjaar later niet meer kunt openen omdat je het wachtwoord niet meer weet.

Ook dat laatste is trouwens op te lossen: gebruik bijvoorbeeld Keepass of LastPass als wachtwoordmanager. Daarover lees je meer in hoofdstuk 5 van het boekje ‘Persoonlijke informatiebeveiliging‘ dat ik in samenwerking met Arjen Kamphuis schreef.