Elke maand gaan er miljoenen financiële documenten als e-mailbijlage door Nederland: jaarcijfers, loonstroken, btw-overzichten, kopieën van identiteitsbewijzen. Voor de meeste ondernemers voelt dat normaal. Toch is e-mail voor dit soort documenten een van de zwakste schakels in je bedrijfsvoering.
Waarom e-mail geen veilig kanaal is
E-mail is ontworpen in een tijd waarin veiligheid geen ontwerpeis was. Drie structurele problemen:
Je verliest de controle op het moment van verzenden. Een bijlage die eenmaal verstuurd is, kun je niet meer intrekken. Stuur je per ongeluk de jaarcijfers naar het verkeerde adres, dan staan ze daar voor altijd.
Bijlagen blijven overal achter. De mail staat in jouw verzonden items, in de inbox van de ontvanger, op de mailserver van beide providers en in elke back-up daarvan. Eén document, zes kopieën, nul overzicht.
Je weet niet wie het opent. E-mail geeft geen enkel inzicht in wat er met een bijlage gebeurt. Doorgestuurd naar een privéadres? Geopend op een gedeelde computer? Je komt het nooit te weten.
Een kopie van een identiteitsbewijs of een loonstrook valt zonder twijfel onder de AVG. Voor zulke documenten is dit gebrek aan controle niet alleen onhandig, maar een reëel compliance-risico. Bij een datalek moet je kunnen aantonen welke gegevens bij wie terecht zijn gekomen. Met e-mail kan dat simpelweg niet.
Waar een deel-link het verschil maakt
Een beveiligde deel-link draait het model om: het document blijft op één plek staan, en jij bepaalt wie erbij kan en tot wanneer.
- Intrekbaar. Verkeerde ontvanger? Link intrekken en de toegang is per direct weg.
- Verloopdatum. Een link voor de kwartaalcijfers hoeft geen jaren geldig te zijn. Stel een vervaldatum in en na de deadline is de toegang automatisch voorbij.
- Wachtwoord. Voeg een wachtwoord toe dat je via een ander kanaal deelt (bijvoorbeeld telefonisch), en een doorgestuurde link is waardeloos zonder dat wachtwoord.
- Inzicht. Een audit-log laat zien wanneer het bestand is geopend en gedownload. Precies wat je nodig hebt als je verantwoording moet afleggen.
Waar je op let bij een keuze
Niet elke dienst voor bestandsdeling is geschikt voor financiële stukken. Een korte checklist:
- Waar staan de servers? Voor AVG-gevoelige documenten wil je opslag binnen de EU, onder Europese jurisdictie.
- Versleuteling in rust. Bestanden moeten versleuteld op de server staan, niet alleen versleuteld onderweg.
- Toegang per bestand. Een link hoort toegang te geven tot precies één document of map, niet tot een hele account.
- Verantwoording. Zonder logging van uploads, downloads en gedeelde links kun je bij een incident niets reconstrueren.
- Verwerkersovereenkomst. Deel je documenten van klanten, dan is een verwerkersovereenkomst met je opslagleverancier geen luxe maar een AVG-vereiste.
De praktijk
Het hoeft niet ingewikkeld te zijn. Upload het document één keer, maak per ontvanger een link met vervaldatum en wachtwoord, en trek de link in zodra het traject is afgerond. Jij houdt het overzicht, je accountant krijgt precies wat nodig is, en bij een controle kun je laten zien wie wanneer toegang had.
Dat is het hele idee achter codocs: bestanden delen zoals het hoort. Vanaf Europese servers, versleuteld opgeslagen, met links die jij beheert.