Als partner of kantoormanager wil je dat “veilig mailen” geen discussie is, maar een zekerheid. De afgelopen tijd is die zekerheid voor veel kantoren juist wél onderwerp van gesprek geworden, nadat er berichten verschenen dat veilig mailen met de Rechtspraak via Zivver mogelijk niet zo waterdicht is als je zou verwachten.
Die twijfel komt niet uit het niets. In de praktijk gaat het bij veilige communicatie niet alleen om versleuteling, maar ook om wie er technisch en juridisch bij data kan, hoe je ontvangers verifieert, welke bewijslast je achteraf kunt leveren en hoe groot de kans is dat een medewerker per ongeluk tóch een onveilige route kiest. En precies daar kan wantrouwen in (en potentiële onveiligheid van) Zivver een heel logische aanleiding zijn om te heroverwegen: blijven we dit nog willen, of stappen we over naar een alternatief dat veiligheid én bewijsvoering centraler heeft staan, zoals Veilig Mailen van Aangetekend.
Ook als een oplossing op papier aan normen voldoet, kan het vertrouwen alsnog beschadigen door signalen over mogelijke kwetsbaarheden, onduidelijkheid over toegang tot berichten, of zorgen over eigenaarschap en jurisdictie. Tweakers berichtte bijvoorbeeld dat de IND wil stoppen met Zivver na de overname door een Amerikaans bedrijf, omdat het volgens de IND niet is uit te sluiten dat gegevens in handen komen van de VS. Los van de exacte juridische duiding: dit soort berichtgeving werkt direct door in de risico-afweging van bestuurders.
Voor een advocaten- of notariskantoor is dat extra relevant omdat je dagelijks werkt met informatie die, als die uitlekt of onderschept wordt, meteen leidt tot reputatieschade, cliëntvertrouwen dat afbrokkelt en mogelijk meldplichten of tuchtrechtelijke vragen. Het is precies waarom “veilig mailen” bij veel kantoren inmiddels governance is: iets waar je als management aantoonbaar grip op moet hebben.
De Nederlandse Orde van Advocaten (NOvA) is er helder over dat onbeveiligde e-mail geschikt is voor algemene communicatie, maar niet voor het uitwisselen van vertrouwelijke informatie. In dezelfde NOvA-tips wordt benadrukt dat commerciële mailprogramma’s versleuteld verzenden kunnen ondersteunen en dat de Rechtspraak specifieke eisen stelt aan veilig mailen.
Op de pagina met beveiligingsmaatregelen noemt de NOvA bovendien expliciet dat het versturen van documenten beveiligd moet worden door gebruik te maken van een programma voor veilige e-mail en/of e-signing.
De Rechtspraak legt op haar FAQ uit wat zij onder Veilig Mailen verstaat: berichten en bijlagen zijn versleuteld en er is een “tweede factor” om identiteit van verzender en ontvanger te verifiëren. Interessant voor kantoren die willen kunnen switchen: de Rechtspraak zegt óók dat je uit verschillende aanbieders kunt kiezen, zolang die voldoen aan NTA 7516 en, als het gaat om aangetekende elektronische bezorging, eIDAS-gecertificeerd (qERDS) kunnen zijn en interoperabel zijn volgens NTA 7516.
De Raad van State is in dat kader ook praktisch: een basisaccount is vaak niet genoeg en als jouw oplossing pas bij het verzenden nog om ontvangerscontrole/authenticatie vraagt, kan dat betekenen dat je niet voldoet aan de technische vereisten van NTA 7516 voor rechtstreeks Veilig Mailen. Met andere woorden: “veilig mailen” is niet alleen een vinkje, het is ook inrichting en afdwingbaarheid.
Als het vertrouwen in Zivver afneemt, zoeken kantoren doorgaans twee dingen tegelijk: meer zekerheid over veiligheid én minder discussie over bewijs en compliance. Dat is precies waar Aangetekend zich positioneert.
Aangetekend beschrijft Beveiligd Mailen (in de markt vaak als “veilig mailen” aangeduid) als e-mailen waarbij vertrouwelijkheid, integriteit en authenticiteit worden geborgd, met expliciete verwijzingen naar AVG, eIDAS en NTA 7516. Daarnaast claimt Aangetekend dat data binnen Europa blijft en dat dit het risico op Cloud Act-problematiek wegneemt, en dat er bescherming is tegen phishing en spoofing.
Via Balieplus wordt die propositie nog concreter gemaakt richting de juridische praktijk. Op de Balieplus-pagina over Beveiligd Mailen staat dat de oplossing vooraf controleert of er een veilige verbinding met de ontvanger kan worden opgebouwd en dat, als dat niet kan, de ontvanger via twee-factor-authenticatie inlogt in een beveiligde omgeving om het bericht te lezen. Dat sluit heel direct aan op het NOvA-uitgangspunt “vertrouwelijk = extra beveiliging” én op hoe de Rechtspraak Veilig Mailen uitlegt.
Twee onderwerpen die in audits en incidentenonderzoeken steeds terugkomen zijn herleidbaarheid en e-mailvervalsing. Het NCSC beschrijft dat e-mailauthenticatiestandaarden zoals SPF en DKIM (en in de praktijk vaak ook DMARC) helpen om te verifiëren of e-mail namens jouw domein echt door bevoegde servers is verzonden en om spoofing tegen te gaan.
Daarnaast wordt “bewijs achteraf” steeds belangrijker: niet alleen dat je versleutelt, maar dat je kunt aantonen wat er is verzonden en ontvangen. De EU beschrijft bij eIDAS Electronic Registered Delivery Services (ERDS) expliciet dat deze diensten veilige en betrouwbare bezorging ondersteunen en bewijs leveren van het moment van verzending, ontvangst en integriteit van de inhoud.
Dat is precies waarom bestuurders in de juridische sector vaak richting aangetekende of geregistreerde e-mail bewegen voor kritieke stukken. PostNL vat het praktisch samen: je kunt mailen met dezelfde juridische waarde als een aangetekende brief, met bewijs van verzending en ontvangst en bescherming tegen ongewenste wijzigingen.
Balieplus positioneert Aangetekend in datzelfde speelveld door te benoemen dat Aangetekend Mailen een eIDAS QTSP is en een alternatief biedt voor aangetekende post, met inzet op rechtsgeldigheid en gebruik in Outlook.
Als je de NOvA-lijn serieus neemt, is de vraag niet óf je extra moet beveiligen, maar hoe je dat zó inricht dat het ook elke dag goed gaat. Zodra er wantrouwen ontstaat in een oplossing als Zivver, wordt de afweging rationeel: je verlaagt je risico door te kiezen voor een oplossing die veiligheid standaard afdwingt, die past binnen de eisen rond NTA 7516 en die voor kritieke communicatie ook de bewijslast kan dragen die je in procedures of discussies nodig hebt.
Daarmee is de stap naar Veilig Mailen van Aangetekend niet alleen een IT-keuze, maar een governance-keuze. Zeker als je via Balieplus al toegang hebt tot Beveiligd Mailen van Aangetekend, inclusief de beschreven werkwijze met veilige verbinding waar mogelijk en 2FA waar nodig, en de positionering rondom AVG/eIDAS/NTA 7516.
punten
Met Beveiligd Mailen verstuur je e-mails en documenten honderd procent veilig. Zo weet je zeker dat gegevens zijn beschermd tegen verlies, diefstal, beschadiging of misbruik en oneigenlijk gebruik.
Belangrijke e-mails zonder juridisch bewijs? Met Aangetekend Mailen verstuurt uw kantoor vertrouwelijke documenten veilig, versleuteld en aantoonbaar ontvangen. Voorkom discussie over termijnen en bewijs. Werk digitaal met volledige rechtszekerheid.
Met PKIsigning heb je binnen 1 werkdag een digitaal en veilig ondertekenproces. Geen papieren rompslomp meer, maar tijdwinst, juridische zekerheid en tevreden cliënten.
Documentcreatie voor de legal sector in Microsoft 365. Met vooraf goedgekeurde sjablonen en AI zorgt Documentaal voor rust en orde in uw documentproces. Dit scheelt tijd, geld en frustratie.
