IBD publiceert factsheets e-mailauthenticatie

De IBD heeft op 3 juni de factsheet over e-mailauthenticatie door middel van SPF, DKIM en DMARC gepubliceerd in zowel de uitgebreide als de verkorte variant. Deze twee documenten heeft de IBD opgesteld naar aanleiding van de pilot die eind 2015 bij 30 gemeenten is gehouden en de opvolgende impactanalyse. De factsheets zijn geschreven in nauwe samenwerking met het Bureau Forum Standaardisatie.

E-mailauthenticatie

Met e-mailauthenticatie kan een gemeente haar domeinnaam beschermen tegen betrouwbaar lijkende phishing e-mailberichten waarin bijvoorbeeld bijlagen of links naar malware of valse inlogpagina’s zitten. Het zorgt ervoor dat derden niet zomaar de gemeentelijke domeinnaam als afzenderadres kunnen misbruiken. Dit wordt ‘afzenderadres-vervalsing’ of ‘e-mail spoofing’ genoemd en is uit te voeren zonder diepgaande technische kennis. E-mailauthenticatie voorkomt dit en zorgt er bovendien voor dat spam nauwkeuriger wordt herkend. Het werkt op basis van de open standaarden SPF, DKIM en DMARC. Verschillende gemeenten passen deze standaarden al succesvol toe. Deze standaarden zijn ook relevant voor domeinnamen waarvan niet gemaild wordt.

Pas-toe-of-leg-uit

De standaarden SPF, DKIM staan op de lijst met open standaarden van het Forum Standaardisatie en behoren tot de ’pas-toe-of-leg-uit-lijst’. Naar verwachting zal ook DMARC dit jaar op dezelfde lijst worden opgenomen. Overheden en semi-overheden zijn verplicht om bij de aanschaf van ICT-producten en -diensten te kiezen voor de relevante standaarden van de ‘pas toe of leg uit’-lijst. Aanschaf omvat naast aankoop en inhuur ook ontwikkeling van ICT-producten en -diensten.

Versnelde adoptie voor gemeenten?

Gemeenten hebben ingestemd met de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente”, waarop de minister van BZK ruimte aan gemeenten heeft gegeven voor invulling van het begrip Verplichtende Zelfregulering. In deze resolutie is opgenomen dat gemeenten de BIG als basisnormenkader aannemen. In de BIG zijn bewust géén specifieke standaarden genoemd. Het uitgangspunt is dat gemeenten de ruimte moeten hebben om conform hun eigen risicoinschatting de (volgorde van de) voor hen juiste maatregelen te kiezen. In de Regieraad Interconnectiviteit is gesproken over versnelde adoptie van pas-toe-of-leg-uit-normen SPF, DKIM en DMARC. Gemeenten onderschrijven dat een betrouwbare generieke data infrastructuur van belang is voor het vertrouwen van burgers en bedrijven in de (elektronische) overheid. Daarmee onderschrijven zij ook het belang van de standaarden SPF, DKIM en DMARC. In een impactanalyse is voor deze maatregelen in kaart gebracht of een versnelde implementatie mogelijk en gewenst is.

Impactanalyse

Uit de impactanalyse blijkt onder andere dat het analyseren en vastleggen van een compleet overzicht van legitieme mailstromen tijd kost en zorgvuldig dient te gebeuren. Het niet correct of volledig instellen van de juiste mailstromen leidt tot verstoring van de gemeentelijke in- en uitgaand e-mail. Zorgvuldige implementatie kost tijd omdat in samenwerking met leveranciers de complete mailstroom van alle domeinen in kaart moet worden gebracht en deze moet worden vertaald in de juiste instellingen.

De factsheet biedt gemeenten handvatten om de standaarden te implementeren.

Meer informatie

Mocht u naar aanleiding van de factsheet vragen hebben dan kunt u contact opnemen met de IBD-Helpdesk via 070 373 8011 of via info@IBDgemeenten.nl. U kunt met collega-gemeenten kennis en ervaringen over SPF, DKIM en DMARC uitwisselen op de IBD-Community.

FAQ
Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerker?

Wanneer een partij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat u aan diens rechtstreekse gezag onderworpen bent, dan is deze partij een verwerker. De verwerking van de persoonsgegevens is de primaire opdracht. Hiermee wordt bedoeld dat de dienstverlening gericht moet zijn op het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet de primaire opdracht is, maar een afgeleiden van een andere vorm van dienstverlening, dan is de partij zelf de verwerkersverantwoordelijke voor de verwerking. Voorbeelden van verschillende soorten verwerkers kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ