Een probleem dat bijna niemand ziet
Een advocaat ontvangt een gevoelig document van zijn cliënt. Een arts bespreekt een diagnose met een collega. Een psycholoog coördineert met een psychiater de behandeling van een patiënt. Een belastingadviseur stuurt de gegevens van een aangifte. Ze doen het allemaal via berichtendiensten. En bijna niemand heeft stilgestaan bij waar die berichten terechtkomen.
Het antwoord is in de meeste gevallen: op een server die ze niet beheren, in een land waarvan ze de wetgeving niet kennen, beheerd door een bedrijf waarvan het verdienmodel juist het verzamelen van gegevens is. Het bericht is misschien versleuteld tijdens het transport, maar zodra het op de server aankomt, is het een kopie die is opgeslagen in de infrastructuur van een derde partij.
Wat de wet zegt
De Europese GDPR is duidelijk: wie persoonsgegevens van derden beheert, is verantwoordelijk voor de bescherming ervan met passende technische maatregelen. Goede wil is niet genoeg. Het is niet genoeg dat de app zegt te versleutelen. Als de gegevens van je cliënt op een server staan die niet aan de Europese regelgeving voldoet, ben jij verantwoordelijk.
En het is niet alleen de GDPR. Het beroepsgeheim — geregeld voor advocaten, artsen, psychologen, accountants en vele anderen — vereist dat de communicatie met de cliënt vertrouwelijk is. Niet vertrouwelijk "voor zover mogelijk". Echt vertrouwelijk. Als het kanaal dat je gebruikt het technisch niet kan garanderen, neem je een risico dat je niet zou moeten nemen.
Wat heeft een professional nodig?
Wat een professional die gevoelige informatie beheert nodig heeft, is verrassend eenvoudig. Een kanaal waar berichten rechtstreeks van zijn apparaat naar dat van de ontvanger gaan, zonder tussenliggende server. Waar geen kopie in een cloud achterblijft. Waar je geen persoonlijk telefoonnummer hoeft te geven. En waar de infrastructuur volledig voldoet aan de Europese regelgeving.
Hij heeft geen complexe app nodig. Geen training. Hij hoeft zijn werkwijze niet te veranderen. Hij heeft precies nodig wat hij al gebruikt — berichtendiensten — maar met de technische garantie dat de informatie de apparaten van de twee deelnemers aan het gesprek niet verlaat.
Het verschil tussen versleutelen en niet opslaan
Een bericht versleutelen en opslaan op een server is als een document in een kluis stoppen en die bij een vreemde thuis achterlaten. De kluis is goed, ja. Maar het document is nog steeds bij iemand anders thuis. En die ander kan een gerechtelijk bevel ontvangen, kan slachtoffer worden van een cyberaanval, of kan simpelweg zijn servicevoorwaarden wijzigen.
Het alternatief is dat het document nooit je kantoor verlaat. Dat het rechtstreeks van jouw bureau naar het bureau van je cliënt gaat, zonder tussenkomst van een intermediair. Dat is wat directe communicatie tussen apparaten doet: het elimineert de intermediair. Niet omdat de intermediair slecht is. Maar omdat de intermediair onnodig is. En het onnodige is in beveiliging altijd een risico.
Een kwestie van verantwoordelijkheid
Uiteindelijk is de vraag die elke professional zich zou moeten stellen: als morgen een gesprek met mijn cliënt uitlekt, kan ik dan aantonen dat ik een technisch veilig kanaal heb gebruikt? Kan ik aantonen dat de gegevens nooit onze apparaten hebben verlaten? Kan ik aantonen dat ik niet afhankelijk was van de goede wil van een bedrijf op een ander continent?
Het middel dat je kiest om met je cliënten te communiceren, zegt veel over hoe je hun vertrouwen waardeert. En er zijn middelen die precies daarvoor ontworpen zijn: zodat vertrouwen niet van beloftes afhangt, maar van de architectuur.