Waarom e-mail geen veilige manier is om gegevens te versturen
E-mail is nooit ontworpen voor vertrouwelijkheid. Wie begrijpt hoe berichten technisch worden verstuurd, ziet snel waarom vertrouwelijke gegevens een ander kanaal nodig hebben.
E-mail is het meest gebruikte communicatiemiddel in de zakelijke praktijk – en tegelijk een van de slechtst beschermde. Wie vertrouwelijke documenten, inloggegevens, contracten of persoonsgegevens per e-mail verstuurt, vertrouwt op een methode die in de vroege jaren tachtig is ontworpen, lang voordat vertrouwelijkheid een technische eis was. Het resultaat is een systeem dat betrouwbaar aflevert, maar van zichzelf niets zegt over wie een bericht onderweg kan lezen, opslaan of wijzigen. Dit artikel legt uit waarom e-mail geen veilige manier is om gegevens te versturen, op welke plekken de inhoud zichtbaar wordt, welke beschermingsmechanismen er bestaan – en waar hun grenzen liggen.
- Hoe een e-mail technisch echt wordt verstuurd
- Transportversleuteling: wat TLS wel en niet doet
- Gegevens in rust: servers lezen mee
- Metagegevens blijven zichtbaar
- Aanvalspunten langs het traject
- Eind-tot-eindversleuteling: PGP en S/MIME
- E-mail en de AVG
- Veelvoorkomende misvattingen in de praktijk
- Checklist: wanneer e-mail niet volstaat
- Veilige alternatieven voor verzending per e-mail
- Veelgestelde vragen
- Conclusie
Hoe een e-mail technisch echt wordt verstuurd
De gangbare veronderstelling dat een e-mail "rechtstreeks" van afzender naar ontvanger gaat, is technisch onjuist. In werkelijkheid gaat het om een doorstuurproces volgens het principe "store and forward". Een bericht doorloopt doorgaans meerdere stations: de uitgaande mailserver van de afzender, eventueel tussenliggende relays, de inkomende mailserver van de ontvanger en ten slotte diens postvak. Het onderliggende protocol heet SMTP (Simple Mail Transfer Protocol) en beschrijft uitsluitend hoe berichten van de ene server naar de volgende worden vervoerd – niet hoe ze worden beschermd.
Op elk van deze stations wordt het bericht volledig ontvangen, tijdelijk opgeslagen en daarna doorgegeven. Elke betrokken server heeft daarmee in beginsel de mogelijkheid om de inhoud te lezen. Een treffende vergelijking is de ansichtkaart: die komt betrouwbaar aan, maar iedereen door wiens handen hij gaat, kan meelezen. Een brief in een envelop zou het tegenmodel zijn – en juist die envelop ontbreekt bij e-mail in zijn basisvorm.
Daar komt bij dat de afzender geen invloed heeft op de route die het bericht aflegt en welke systemen het passeert. Bij communicatie tussen twee organisaties zijn vaak dienstverleners, spamfilters, archiveringssystemen en cloudplatforms betrokken die voor de afzender onzichtbaar blijven. Veiligheid laat zich niet garanderen voor een traject dat je niet kent.
Transportversleuteling: wat TLS wel en niet doet
Moderne mailservers versleutelen de verbinding tussen twee stations doorgaans met TLS (Transport Layer Security), vaak onderhandeld via het commando STARTTLS. Dat is een echte en belangrijke bescherming: terwijl het bericht van de ene server naar de volgende reist, is het op dat deeltraject beschermd tegen meelezen. Juist hier ontstaat echter een wijdverbreid misverstand.
TLS beschermt de verbinding, niet het bericht. Het beveiligt altijd alleen het stuk tussen twee direct naast elkaar liggende servers. Zodra het bericht is aangekomen, ligt het op die server ontsleuteld klaar voordat het voor het volgende stuk opnieuw wordt versleuteld. Men spreekt van hop-to-hop-versleuteling, in tegenstelling tot doorlopende eind-tot-eindversleuteling. Tussen de stations is de inhoud in leesbare vorm beschikbaar.
Opportunistische versleuteling en haar hiaten
In de klassieke e-mailwereld is transportversleuteling bovendien "opportunistisch": de servers proberen TLS te gebruiken, maar vallen terug op een onversleutelde verbinding als de tegenpartij dit niet ondersteunt. Voor de afzender is niet te zien of een bepaald bericht daadwerkelijk op alle deeltrajecten versleuteld is verstuurd. Een aanvaller in een tussenpositie kan deze inschikkelijkheid uitbuiten en een zogenoemde downgrade afdwingen, waarbij de versleuteling achterwege blijft – zonder dat een van de partijen het merkt.
Mechanismen als MTA-STS en DANE zijn ontwikkeld om juist zulke downgrades te bemoeilijken door versleutelde verbindingen verplicht voor te schrijven. Ze zijn echter niet overal geïmplementeerd en veranderen niets aan het fundamentele probleem: zelfs een perfect doorlopende transportversleuteling beschermt het bericht alleen onderweg, niet op zijn rustpunten.
Gegevens in rust: servers lezen mee
De grootste zwakte ligt niet op de lijn, maar op de stations. Op elke betrokken mailserver – en met name in het doelpostvak – ligt het bericht in leesbare vorm, tenzij eind-tot-eindversleuteling wordt gebruikt. Daarmee hebben in beginsel toegang:
- de e-mailaanbieders van zowel de afzender als de ontvanger,
- beheerders met de bijbehorende rechten,
- back-upsystemen die postvakken regelmatig in back-ups wegschrijven,
- archiveringsoplossingen die berichten langdurig en revisiebestendig bewaren,
- en mogelijk aanvallers die een van deze systemen hebben gecompromitteerd.
Deze leesbare kopieën blijven vaak jarenlang bestaan. Een eenmaal verstuurde vertrouwelijke informatie laat zich praktisch niet meer terugroepen of betrouwbaar verwijderen, omdat ze is opgeslagen op plaatsen die de afzender niet beheert. Juist deze persistentie onderscheidt het risico van e-mail van dat van een vluchtige overdrachtsfout.
Metagegevens blijven zichtbaar
Zelfs wanneer de inhoud van een bericht is versleuteld, blijft een aanzienlijke hoeveelheid begeleidende informatie open. Daartoe behoren afzender en ontvanger, het tijdstip van verzending, het onderwerp en technische headers die de weg van het bericht over de betrokken servers vastleggen. Deze metagegevens verraden vaak meer dan men aanneemt: wie met wie, wanneer en hoe vaak communiceert, maakt conclusies mogelijk over zakelijke relaties, onderhandelingen, juridische kwesties of gezondheidssituaties.
Het onderwerp is daarbij een bijzonder onderschat geval. Het wordt ook bij eind-tot-eindversleuteling met PGP of S/MIME standaard niet versleuteld en ligt in leesbare vorm voor. Een onderwerpregel als "Ontslag arbeidsovereenkomst Jansen" of "Uitslag oncologie" onthult het vertrouwelijke al voordat het bericht wordt geopend.
Aanvalspunten langs het traject
Het volgende overzicht koppelt de typische zwakke plekken aan de betreffende stations:
| Station | Risico | Voorbeeld |
|---|---|---|
| Apparaat van de afzender | Malware, gekaapt account | Een geïnfecteerde computer leest uitgaande berichten mee. |
| Uitgaande mailserver | Opslag in leesbare vorm, foutieve configuratie | Een bericht wordt zonder TLS doorgestuurd. |
| Overdrachtstraject | Downgrade-aanval, man-in-the-middle | Versleuteling wordt onderdrukt en het verkeer afgeluisterd. |
| Tussenliggende relays | Onbekende systemen van derden | Een dienstverlener bewaart kopieën voor spamanalyse. |
| Doelpostvak | Opslag in leesbare vorm, zwak wachtwoord | Een overgenomen account geeft het hele archief prijs. |
| Back-ups en archieven | Langdurige leesbare kopieën | Een oude back-up bevat allang vergeten gegevens. |
| Metagegevens | Headers, onderwerp, routing | Communicatiepatronen worden ook zonder inhoud zichtbaar. |
De tabel maakt duidelijk dat er niet één zwakke plek is, maar een keten van punten waar vertrouwelijkheid verloren kan gaan. Wie alleen de overdracht beveiligt, negeert de meeste risico's.
Eind-tot-eindversleuteling: PGP en S/MIME
Het voor de hand liggende tegenargument luidt: is e-mail niet te beveiligen met echte eind-tot-eindversleuteling? In beginsel wel. Methoden als OpenPGP en S/MIME versleutelen de inhoud van het bericht op het apparaat van de afzender, zodat alleen de beoogde ontvanger die weer kan lezen. De tussenstations zien dan slechts onbegrijpelijke gegevens. Waar dit consequent wordt toegepast, is e-mail daadwerkelijk vertrouwelijk.
Waarom eind-tot-eindversleuteling in de praktijk zelden werkt
Het beslissende punt is de praktische bruikbaarheid. Beide methoden veronderstellen dat afzender en ontvanger hetzelfde systeem gebruiken, cryptografische sleutels hebben aangemaakt en uitgewisseld, en hun sleutels veilig bewaren. Daaruit volgen meerdere hindernissen:
- Wederzijdse voorwaarde. Versleutelen kan alleen als de tegenpartij voorbereid is. Bij spontane communicatie met cliënten, overheden of nieuwe zakenpartners is dat zelden het geval.
- Sleutelbeheer. Sleutels moeten worden aangemaakt, verdeeld, gecontroleerd, bij verlies ingetrokken en regelmatig vernieuwd. Deze taken overvragen veel organisaties in de dagelijkse praktijk.
- Onversleutelde metagegevens. Zoals gezegd blijven het onderwerp en de headers open, wat de beschermende werking in de praktijk merkbaar beperkt.
- Foutgevoeligheid. Een per ongeluk onversleuteld verstuurd bericht of een aan de verkeerde persoon gestuurde sleutel ondermijnt de bescherming zonder dat het opvalt.
Eind-tot-eindversleuteling is dus geen mythe, maar ze is veeleisend, afhankelijk van beide partijen en voor brede, spontane communicatie nauwelijks vol te houden. Wie het verschil tot in detail wil begrijpen, vindt een uitgebreide vergelijking onder Eind-tot-eind versus transportversleuteling.
E-mail en de AVG
Het onversleuteld versturen van persoonsgegevens is niet categorisch verboden, maar wel juridisch riskant. Artikel 32 AVG verplicht verwerkingsverantwoordelijken om technische en organisatorische maatregelen te treffen die passend zijn bij het risico. De maatstaf is dus geen vast verbod, maar een risicogebaseerde afweging: hoe gevoeliger de gegevens – bijvoorbeeld gezondheidsgegevens, financiële informatie of gegevens van bijzonder kwetsbare personen – des te hoger de eisen aan de bescherming.
In de praktijk betekent dit: voor een alledaags, weinig gevoelig bericht kan transportversleuteling volstaan. Voor vertrouwelijke of bijzonder gevoelige inhoud is ze doorgaans niet voldoende, omdat de opslag in leesbare vorm op de tussenstations en het ontbreken van doorlopende versleuteling juist niet aansluiten bij de stand van de techniek voor zulke gegevens. De Autoriteit Persoonsgegevens beoordeelt het onversleuteld versturen van gevoelige gegevens dan ook kritisch.
Wat in alle gevallen telt, is een aantoonbaar en passend beschermingsniveau, niet een specifieke technologie. Een gestructureerde aanpak van rechtmatige overdracht beschrijft het artikel Persoonsgegevens AVG-conform versturen.
Veelvoorkomende misvattingen in de praktijk
Drie aannames leiden bijzonder vaak tot verkeerde beslissingen. Ten eerste het idee dat een slotsymbool in het mailprogramma betekent dat het bericht veilig is. In werkelijkheid duidt het hooguit op een versleutelde verbinding met de eigen mailserver, niet op doorlopende bescherming tot aan de ontvanger. Ten tweede de aanname dat intern versturen binnen dezelfde organisatie ongevaarlijk is. Ook daar doorloopt het bericht servers, back-ups en archieven en is het leesbaar voor beheerders. Ten derde het geloof dat een met een wachtwoord beveiligde ZIP-bijlage het probleem oplost. Wordt het wachtwoord via hetzelfde of een vergelijkbaar onveilig kanaal verstuurd, dan is de bescherming grotendeels zinloos, en zwakke wachtwoorden laten zich bovendien machinaal kraken.
Een typisch scenario maakt de gevolgen duidelijk. Een advocatenkantoor stuurt een processtuk met persoonsgegevens naar een cliënt. De overdracht verloopt via TLS, en de onderwerpregel noemt de naam van de cliënt en het geschilonderwerp. Zelfs als onderweg niemand meeleest, ligt het bericht daarna blijvend in leesbare vorm in het postvak van de cliënt, in diens back-ups en in het archief van het kantoor. Wordt een van deze postvakken gecompromitteerd of een apparaat gestolen, dan is de hele zaak blootgelegd – mogelijk jaren later en zonder dat de oorspronkelijke afzender er iets van merkt.
De les is organisatorisch van aard. Veiligheid ontstaat niet doordat individuele medewerkers er in afzonderlijke gevallen aan denken te versleutelen, maar doordat het vertrouwelijk versturen standaard via een beschermde weg verloopt. Een methode die alleen werkt wanneer alle betrokkenen haar correct en vrijwillig toepassen, is in de dagelijkse praktijk niet betrouwbaar. Juist daarom verschuift de verantwoordelijkheid van de individuele beslissing naar een proces dat de veilige weg tot standaardinstelling maakt.
Checklist: wanneer e-mail niet volstaat
De volgende lijst helpt bij de afweging. Geldt een van de punten, dan zou vertrouwelijke inhoud niet via gewone e-mail mogen worden verstuurd:
- Het bericht bevat bijzondere categorieën persoonsgegevens (gezondheid, religie, vakbond, seksueel leven, biometrische gegevens).
- Het gaat om inloggegevens, wachtwoorden, sleutels of tokens.
- Contracten, financiële stukken of cliëntgegevens zijn in het geding.
- De ontvangerskring is onzeker of het bericht zou per ongeluk bij derden kunnen belanden.
- Er bestaat een contractuele of wettelijke geheimhoudingsplicht.
- U kunt niet betrouwbaar waarborgen dat de tegenpartij eind-tot-eindversleuteling beheerst.
- De inhoud mag na een bepaalde tijd niet meer toegankelijk zijn.
Hoe meer van deze punten van toepassing zijn, des te duidelijker is het antwoord: e-mail is hier het verkeerde gereedschap.
Veilige alternatieven voor verzending per e-mail
De conclusie uit deze zwakheden is niet om digitale communicatie op te geven, maar om voor vertrouwelijke inhoud een daarvoor gebouwde methode te gebruiken. In plaats van een bestand of bericht door een keten van vreemde servers te sturen, wordt de vertrouwelijke inhoud op een beschermde plek opgeslagen; de ontvanger haalt die op via een beveiligde toegang. Per e-mail wordt dan alleen nog een link verstuurd – niet de inhoud zelf.
Zinvolle eigenschappen van zo'n methode zijn:
- Eind-tot-eindbescherming volgens het zero-knowledge-principe, waarbij zelfs de aanbieder de inhoud niet kan ontsleutelen. Een uitgebreide toelichting biedt het artikel Zero-knowledge uitgelegd.
- Eenmalige links (one-time links) die na de eerste keer ophalen automatisch ongeldig worden en zo voorkomen dat een onderschepte link meermaals wordt gebruikt.
- Zelfvernietigende inhoud die na het verstrijken van een termijn niet meer op te halen is en daarmee het probleem van blijvende leesbare kopieën aanpakt.
- Een veilig postvak (secure inbox) waarmee ook derden vertrouwelijke informatie aan u kunnen overdragen zonder zelf versleuteling te hoeven inrichten.
Crymbl bouwt precies op deze bouwstenen: veilig delen van bestanden en berichten, eenmalige links, zelfvernietigende inhoud en een op zero-knowledge gebaseerd concept dat vertrouwelijkheid niet afhankelijk maakt van de technische voorbereiding van de tegenpartij. Hoe u vertrouwelijke bestanden concreet overdraagt, laat het artikel Veilig bestanden delen en one-time links zien.
Veelgestelde vragen
Is een gewone e-mail versleuteld? De inhoud zelf doorgaans niet. Versleuteld wordt – voor zover aanwezig – de verbinding tussen twee mailservers. Op de stations en in het postvak ligt het bericht in leesbare vorm.
Wat heeft transportversleuteling dan voor zin? Ze beschermt het bericht tegen meelezen op het betreffende deeltraject en is daarom zinvol. Ze beschermt echter noch de rustende inhoud op de servers, noch de metagegevens, en garandeert niet dat elk deeltraject daadwerkelijk versleuteld was.
Wat is het verschil tussen transport- en eind-tot-eindversleuteling? Transportversleuteling beveiligt de verbinding stuk voor stuk; tussen de stukken ligt de inhoud open. Eind-tot-eindversleuteling beveiligt de inhoud doorlopend van afzender tot ontvanger, zodat tussenstations die niet kunnen lezen.
Mag ik persoonsgegevens per e-mail versturen? Er is geen algemeen verbod, maar artikel 32 AVG vereist maatregelen die passen bij het risico. Voor gevoelige gegevens is gewone e-mail doorgaans niet voldoende.
Zijn PGP en S/MIME een toereikende oplossing? Technisch wel, in de praktijk slechts beperkt. Beide partijen moeten ze beheersen, sleutels beheren en leven met onversleutelde onderwerpregels. Voor spontane, brede communicatie zijn ze moeilijk vol te houden.
Hoe verstuur ik vertrouwelijke inhoud in plaats daarvan veilig? Door de inhoud op een beschermde plek op te slaan en via beveiligde toegang te laten ophalen, bijvoorbeeld via op zero-knowledge gebaseerde diensten met eenmalige links en zelfvernietigende inhoud. Verstuurd wordt dan alleen de link, niet de informatie.
Conclusie
E-mail is een uitstekend hulpmiddel om betrouwbaar af te leveren – maar geen hulpmiddel om vertrouwelijkheid te waarborgen. De methode is ontworpen voor bereikbaarheid, niet voor bescherming. Transportversleuteling verzacht een deel van het probleem, maar laat de opslag in leesbare vorm op de stations, de open metagegevens en het ontbreken van doorlopende versleuteling onaangetast. Eind-tot-eindmethoden lossen dit in beginsel op, maar stranden in de breedte op hun gebrek aan praktische bruikbaarheid.
Voor vertrouwelijke en persoonsgegevens is het robuuste antwoord daarom niet om e-mail beter te configureren, maar om de inhoud van de e-mail te scheiden: alleen een link gaat door het open systeem, de beschermde inhoud blijft op een gecontroleerde plek. Wie deze scheiding consequent doorvoert, voldoet tegelijk aan de eisen van artikel 32 AVG en verkleint het risico op onbedoelde openbaarmaking aanzienlijk.
Altijd op de hoogte.
Nieuwe artikelen over gegevensbescherming, compliance en veilig delen – rechtstreeks in uw inbox. Geen spam, altijd opzegbaar.
Ontdek alle functiesBlog-updates ontvangen
Meld u aan en mis geen enkel nieuw artikel.
Door u te abonneren, gaat u akkoord met ons Privacy Policy.