Is de link van het kerstpakket veilig?

Klik nooit op verdachte links in e-mails, zegt elk IT beveiligingsbedrijf. Toch vraagt de universiteit dit aan haar werknemers in een e-mail over de kerstpakketten. Is dit veilig, mogen we hierop klikken?

Afgelopen vrijdag onderzocht ABN-Amro of werknemers toch op een onveilige link klikken, als er een kerstpakket in het vooruitzicht wordt gesteld. Dat kwam het bedrijf op kritiek te staan. Het kerstpakket was eerder afgeschaft, waardoor het testmailtje een openliggende zenuw raakte bij het personeel. Nu stuurt de Universiteit van Tilburg een kerstpakketmail waarbij je moet doorklikken naar een onbekende site. Daarbij wordt bovendien gevraagd om NAW-gegevens (naam, adres woonplaats) en je e-mailadres in te vullen. Is dit veilig?

Normaal gesproken niet doen, zegt Jeffeny Hoogervorst, IT security officer:

“Wij waarschuwen onze gebruikers altijd goed naar het ‘werkelijke’ doeladres (URL) in de mail te kijken. Zie je dat er als domeinnaam uvt.nl of tilburguniversity.edu staat, dan kun je er vanuit gaan dat het een vertrouwd adres is. Puur vanuit security zeg ik dat dit adres in de mail wel verwarrend is; http://tilburguniversity.m7.mailplus.nl/nct3958517/<willekeurige code>. Deze link, waar de naam van onze universiteit in genoemd wordt, verwijst niet naar een adres van de universiteit zelf maar naar een extern adres. Er wordt de ontvangers ook nog gevraagd actief op die link in de mail te klikken. Dit concept wordt ook gebruikt bij een phishing mail. Normaal gesproken zou ik vanuit veiligheid dus zeggen, niet doen. Maar dit is wel veilig hoor.”

Is het dan wel veilig om je naam, adres en emailadres in te vullen bij een voor jou onbekend bedrijf? Juridisch is daar een verwerkingsovereenkomst (voorheen bewerkersovereenkomst) voor nodig, want je laat een externe partij in jouw naam vragen naar de gegevens van je medewerkers. Wij stellen de vraag aan de juridische afdeling van Tilburg University, maar hoofd Personeelszaken Ellen van Dodewaard antwoordt: “Tilburg University heeft gekozen voor het bedrijf Staples die samenwerkt met Company of Gifts om de digitale bestelling en de bezorging te regelen. Company of Gifts vraagt aan medewerkers vanzelfsprekend gegevens die nodig zijn om bestellingen af te leveren. Company of Gifts handelt daarbij niet als bewerker van Tilburg University, maar is zelf verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. Tilburg University heeft de bevestiging/verklaring gevraagd en gekregen van Company of Gifts dat gegevens uitsluitend gebruikt worden voor het afhandelen van bestellingen, niet gedeeld worden met derden en definitief verwijderd worden aan het einde van het traject.” 

De verantwoordelijkheid voor onze NAW-gegevens is dus gelegd bij Staples/Company of gifts. IT security wijst er nog op: let normaal gesproken vooral op de link in een mail, het afzendadres zegt op zich niet zoveel omdat dit te faken is. Het doeladres in een link moet kloppen. 

Bekijk meer recent nieuws

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte. Meld je aan voor de nieuwsbrief van Univers.