Signal2Mail: Connect your Signal account and forward messages to email.Learn more
Signal2Mail

Meer Informatie: Signal2Mail

Een Proof-of-Concept voor het Doorsturen van Signal-berichten t.b.v. WOO Compliance

Introductie en Probleemstelling

De Rijksoverheid staat voor de uitdaging om te voldoen aan de Wet Open Overheid (WOO) en de Archiefwet '95, ook voor communicatie via moderne chatapplicaties zoals Signal. Deze applicaties, hoewel efficiënt voor directe communicatie, bieden door hun end-to-end encryptie en externe hosting specifieke uitdagingen voor informatiebeheer en archivering.

Signal2Mail is een onafhankelijk ontwikkelde Proof-of-Concept (PoC) die een technische oplossing verkent om Signal-berichten toegankelijk te maken voor bestaande informatiehuishoudingsprocessen. Het is expliciet geen productieklare oplossing en dient ter illustratie van een mogelijke aanpak.

Wat is Signal2Mail?

Signal2Mail fungeert als een technische "brug" die individuele Signal-accounts kan koppelen en geselecteerde berichten (inclusief bijlagen) kan doorsturen naar een vooraf ingesteld e-mailadres. Het idee hierachter is dat e-mail een gangbaar formaat is dat eenvoudiger kan worden geïntegreerd in bestaande systemen voor e-Discovery, WOO-afhandeling en archivering.

Kernprincipes:

  • Koppeling door gebruiker: De eindgebruiker koppelt zijn/haar Signal-account via een QR-code scan.
  • Selectieve forwarding: Gebruikers kunnen kiezen welke berichten doorgestuurd worden, zodat privéberichten gescheiden blijven van overheidscommunicatie.
  • Geen archiefsysteem: Signal2Mail is zelf geen archiefsysteem; het faciliteert de *overdracht* van informatie.

Globale Werking

De werking van Signal2Mail omvat de volgende stappen:

  1. Authenticatie: De gebruiker logt in op de Signal2Mail webinterface.
  2. Signal Koppeling: De gebruiker initieert een koppelingsproces, waarbij een QR-code wordt getoond. Deze wordt gescand met de Signal-app op de telefoon (vergelijkbaar met het koppelen van Signal Desktop).
  3. Berichtontvangst: Een achterliggende service onderhoudt de verbinding met het Signal-netwerk en ontvangt de berichten voor het gekoppelde account.
  4. Berichtselectie & Doorsturen: De gebruiker selecteert welke berichten overheidsgerelateerd zijn en deze worden, inclusief bijlagen en metadata (afzender, tijdstempel), doorgestuurd naar het geconfigureerde e-mailadres via een SMTP-server.
  5. E-mail in Inbox: De doorgestuurde Signal-berichten komen als reguliere e-mails aan in de opgegeven inbox en kunnen vanaf daar verder verwerkt worden.

Kernfunctionaliteiten van de PoC

  • Beveiligde gebruikersauthenticatie: Toegang tot de Signal2Mail-beheerinterface.
  • Signal Account Koppeling: Via QR-code mechanisme.
  • Berichteninzage (Webinterface): Een overzicht van ontvangen Signal-berichten (binnen de PoC).
  • Selectief Doorsturen: Van tekstberichten en bijlagen (zoals afbeeldingen) na gebruikerskeuze.
  • Behoud Metadata: Afzenderinformatie (nummer/naam) en tijdstempels worden meegenomen.
  • Containerisatie-concept: Ontworpen om als Docker-containers te kunnen draaien, wat deployment en beheer vereenvoudigt.

Potentiële Voordelen

  • Verbeterde WOO-Compliance: Maakt Signal-communicatie beter toegankelijk voor WOO-verzoeken.
  • Integratie met Bestaande Processen: E-mails kunnen worden opgenomen in reguliere archiverings- en e-Discovery workflows.
  • Gebruiksgemak voor Eindgebruiker: Na eenmalige configuratie minimale impact op het normale gebruik van Signal.
  • Gecontroleerde Archivering: Gebruikers kunnen bewust onderscheid maken tussen privé- en overheidscommunicatie.
  • Centralisatie (van kopieën): Berichten komen centraal binnen op een e-mailadres i.p.v. verspreid over vele telefoons.

Belangrijke Overwegingen en Uitdagingen

Hoewel de PoC technische mogelijkheden aantoont, zijn er significante overwegingen voor een eventuele opschaling of implementatie binnen de Rijksoverheid:

Technisch

  • Stabiliteit van de Signal-koppeling: Stabiliteit, onderhoud, en compatibiliteit met wijzigingen in het Signal-protocol zijn cruciaal.
  • Beveiliging van sessiegegevens: De lokaal opgeslagen sessie-informatie en encryptiesleutels zijn zeer gevoelig en vereisen robuuste beveiliging.
  • Schaalbaarheid: De huidige PoC is niet ontworpen voor honderden of duizenden gelijktijdige gebruikers.
  • Betrouwbaarheid van de koppeling: Wat gebeurt er bij (tijdelijke) storingen in de verbinding met Signal?

Compliance & Juridisch

  • AVG (Privacy):
    • Een grondige Data Protection Impact Assessment (DPIA) is absoluut noodzakelijk.
    • Duidelijke grondslag voor verwerking (bv. wettelijke plicht WOO/Archiefwet).
    • Doelbinding en dataminimalisatie: alleen overheidsgerelateerde berichten worden doorgestuurd na bewuste selectie door de gebruiker.
    • Datasoevereiniteit: Waar worden de sessiegegevens en de database van Signal2Mail gehost?
    • Transparantie naar gebruikers over het doorsturen.
  • Archiefwet '95:
    • Wat is de archiefrechtelijke status van de doorgestuurde e-mails (als kopieën van de originele Signal-berichten)?
    • Hoe wordt de authenticiteit, integriteit en context van de informatie geborgd in het e-mailformaat en het verdere archiveringsproces?
  • Informatiebeveiliging (BIO):
    • De gehele keten (Signal-app -> Signal2Mail-applicatie -> SMTP-server -> e-mailinbox) dient te voldoen aan relevante BIO-controls.
    • Authenticatie, autorisatie, logging en monitoring van de Signal2Mail voorziening zelf.

Organisatorisch en Beheer

  • Beleid en Richtlijnen: Duidelijke kaders voor gebruik, beheer en verantwoordelijkheden.
  • Beheerlast: Beheer van gebruikersaccounts, monitoring van de dienst, afhandeling van incidenten.
  • Kosten: Naast ontwikkelkosten ook kosten voor hosting, onderhoud, en integratie met bestaande systemen.

Mogelijke Vervolgstappen (Indien Wenselijk)

Indien besloten wordt de potentie van een dergelijke oplossing verder te onderzoeken, zijn de volgende stappen aan te bevelen:

  1. Uitvoeren van een formele DPIA en juridische analyse: Om compliance-risico's en vereisten volledig in kaart te brengen.
  2. Opstellen van gedetailleerde requirements: Gebaseerd op de behoeften van de Rijksoverheid (schaalbaarheid, beveiliging, beheer, integratie).
  3. Technische doorontwikkeling: Adresseren van schaalbaarheids-, beveiligings- en beheeraspecten om tot een "enterprise-ready" oplossing te komen.
  4. Integratie met Rijksoverheid infrastructuur: Veilige hosting, koppeling met interne SMTP-diensten, en aansluiting op Identity & Access Management (IAM).
  5. Pilot in gecontroleerde omgeving: Testen van de doorontwikkelde oplossing met een representatieve gebruikersgroep binnen een ministerie.
  6. Beleidsontwikkeling: Opstellen van helder gebruiks- en beheerbeleid.

Disclaimer

Signal2Mail is een Proof-of-Concept en niet bedoeld voor productiegebruik in zijn huidige vorm. Deze pagina en de onderliggende PoC dienen ter illustratie van technische mogelijkheden en als startpunt voor discussie over de uitdagingen en kansen rondom de archivering van Signal-berichten binnen de Rijksoverheid.

Terug naar Home

2025 Yeb Havinga (concept)