We schrijven 2025. De AVG/GDPR is alweer jaren van kracht en iedereen hoort inmiddels te weten dat het verzenden van persoonsgegevens via onbeveiligde e-mail niet is toegestaan. Toch is dat precies wat er op grote schaal nog steeds gebeurt. Waarom? Omdat er geen échte werkbare oplossing is — en omdat gemak het nog steeds wint van bewustzijn.
AVG/GDPR
Bedrijven, zorginstellingen en overheidsdiensten worstelen dagelijks met het dilemma: we móeten gegevens delen met klanten, patiënten of relaties, maar we mogen dat niet zomaar. Zeker als het gaat om bijzondere persoonsgegevens, zoals medische of financiële gegevens, is de AVG keihard: zonder passende technische en organisatorische maatregelen is verzending per gewone e-mail simpelweg verboden.
De theorie: encryptie, sleutels en bureaucratie
Volgens de AVG/GDPR moet communicatie waarin persoonsgegevens staan voldoende beveiligd zijn. En dat geldt óók voor e-mail. Maar hoe ziet dat er in de praktijk uit?
Er zijn grofweg drie categorieën van “oplossingen”:
- Public key encryptie
In theorie prachtig: zowel verzender als ontvanger hebben een eigen sleutelpaar (public en private key). Je versleutelt met de publieke sleutel van de ontvanger, die alleen met diens private key kan ontsleutelen. Maar de gemiddelde gebruiker snapt het niet, en eerlijk is eerlijk: zelfs de meeste ICT’ers krijgen het maar met moeite werkend in Outlook of Apple Mail. - Beveiligd bericht + los wachtwoord
Je stuurt een versleuteld bestand of bericht, en het wachtwoord komt dan “veilig” via een ander kanaal (sms, telefoon, aparte mail). Behoorlijk bewerkelijk en foutgevoelig. Bovendien: als je echt iets fout doet, ligt je wachtwoord alsnog naast het bericht. - Zichzelf serieus nemende beveiligingsoplossingen
Denk aan tools zoals Zivver of SecuDoc. Degelijk en doordacht, maar vaak weer zó ingericht dat de ontvanger eerst een eigen account moet aanmaken, ergens moet inloggen, … En a.u.b. geen link meesturen, want links worden alleen door achterlijke onwetenden geklikt. Gelukkig neemt het aantal gebruikers dat links instinctief wantrouwt toe, en natuurlijk terecht.
De praktijk: iedereen doet maar wat
En dan is er nog de grootste groep: mensen die zich van de AVG/GDPR niets aantrekken. Die gewoon medische dossiers, BSN-nummers of scans van ID-kaarten als bijlage meesturen. Omdat het “toch handig is” en “al jaren zo gaat”. Sommigen zijn werkelijk onwetend. Anderen weten het wel, maar negeren het gewoon. De AVG/GDPR heeft immers geen magisch effect op domheid of gemakzucht.
En nu?
Het is tijd voor een structurele oplossing. Niet weer een los platform of een nieuwe inlog-app, maar iets dat breed gedragen wordt, werkbaar is én past binnen het bestaande digitale landschap.
Wat ik voor me zie:
Een centrale, beveiligde overheidsmailbox die elke Nederlander krijgt*— niet voor consumenten, maar voor zakelijke, medische en bestuurlijke communicatie. Denk aan communicatie tussen zorginstellingen, politie, belastingdienst, gemeente of school. Alleen geregistreerde en gecontroleerde partijen mogen ermee en naartoe mailen, en ontvangen. Geen reclame, geen klantcommunicatie, geen nieuwsbriefmeuk. Puur functionele, gevoelige informatieoverdracht.
En nee, dit is niet zomaar een inbox in de cloud. Dit is een inderdaad aparte applicatie, net als je gewone mailprogramma. Je installeert het op je device, en het werkt — zonder browser, zonder links. Net zo normaal als je e-mailclient, maar dan voor serieuze, privacygevoelige communicatie.
Zolang we blijven aanmodderen met halve oplossingen, linkjes waar (hopelijk) niemand op klikt, of tools die je eerst moet uitleggen, zal veilig mailen voor velen een wassen neus blijven. En zolang dat zo is, blijft de AVG/GDPR voor wat e-mail gebruik betreft een papieren tijger — met tanden die zelden bijten, maar wél blijven knarsen. En verder niets oplossen.
* Ja hoor, ik begrijp dat je nu kunt beginnen te zeuren over discriminatie: en niet-Nederlanders dan?
Sorry hoor, maar of niet-Nederlanders ook zo’n mailbox kunnen krijgen is niet de strekking van dit artikel. En als je dat niet begrijpt, zal me dat verder een zorg zijn.