“Hoe kan ik veilig patiëntgegevens delen?” Die vraag hoorde IT-manager Johan Konings van het regionale ziekenhuis Heilig Hart Leuven in de interne informatiesessies over GDPR. Deze vraag kwam in alle lagen van het ziekenhuis met 287 bedden terug: van artsen, secretaresses, paramedici en verplegers.

Privacywet vraagt om een oplossing

De 107 artsen en 720 medewerkers van het Heilig Hart Leuven waren gewend verslagen of afschriften van medische dossiers gewoon via de fax of de e-mail te versturen. Of de ontvanger ook de bedoelde ontvanger is, is niet zeker bij deze manier van versturen. Dat is een risico voor de privacy van de patiënt. Wanneer de e-mail bij de verkeerde ontvanger komt, is dat een gegevenslek. Ziekenhuizen of zorginstellingen die niet hun best doen om datalekken te voorkomen, kunnen beboet worden door de Gegevensbeschermingsautoriteit. De privacywet GDPR is bij het Heilig Hart Leuven onder meer verantwoordelijkheid van Johan Konings: “We willen graag kwaliteit leveren, zowel in het menselijke als in de technische zorg. Het Heilig Hart Leuven wil graag de privacy van haar patiënten beschermen door veilig te e-mailen.”

"Vooral de eenvoud voor de verzender en  ontvanger sprak ons zeer aan. En dat gemak is  finaal ook zo geworden.”

Tegelijk wil het ziekenhuis niet dat medewerkers extra werk krijgen of ingewikkelde handelingen doen. Ook patiënten en externe medische professionals moeten met de oplossing uit de voeten kunnen. “Als een patiënt een afschrift van zijn medisch dossier vraagt, moeten we dat gemakkelijk kunnen toesturen.”

Bij toeval belandde Johan Konings bij een presentatie van Zivver. “Mijn eerste indruk was heel positief. Vooral de eenvoud voor de verzender en ontvanger sprak ons zeer aan. En dat gemak is finaal ook zo geworden.” Zivver is een oplossing voor veilig e-mailen en grote bestanden delen. Het werkt via een plug-in in Outlook waarmee e-mails beveiligd kunnen worden. Voor de medewerkers van Heilig Hart Leuven is het prettig dat ze gewoon in Outlook blijven werken. Met slechts één druk op een knop wordt de beveiliging toegevoegd aan de e-mail middels de integratie met Zivver. De ontvanger krijgt een mail van het ziekenhuis dat er een bericht is. De tekst van de mail mét de privacygevoelige gegevens is versleuteld en beveiligd via twee factor authenticatie (2fa): de bedoelde ontvanger krijgt via sms een code of een tweede e-mail. Alleen wanneer de ontvanger de juiste code invult, kan hij het bericht lezen. “De secretaresse kan zelf kiezen of ze via een telefoongesprek of via sms een code doorgeeft. Net wat handig is voor de gebruiker. Meestal is dat sms.”

Voorkom boetes: houd controle

Het gebruiksgemak maakt Zivver tot de beste oplossing. “Outlook biedt zelf een vorm van veiliger mailen. Maar dat is niet makkelijk vanwege certificaten. En het lijkt duurder. Als je zo’n pakket koopt, gebruik je misschien 10% van de mogelijkheden.” Het ziekenhuis ontvangt ook wel eens mails van een gratis oplossing, maar die is veel complexer voor de eindgebruiker. Zivver helpt mee om de medewerkers alert te houden op het versturen van privacygevoelige informatie. De software leest automatisch mee bij het opstellen van mails. Als er bijvoorbeeld een rijksregisternummer, patiëntnummer, geboortedatum of bepaalde medische termen gebruikt worden, gaat de beveiliging automatisch aan. De gebruiker kan dat uitzetten.

Zijn de gegevens toch naar een verkeerde persoon gestuurd, dan kan de Zivver-mail teruggehaald worden. Sowieso kan de toegang tot een mail bijvoorbeeld na een jaar vervallen. Dat zijn een heel geruststellende features voor gebruikers. De GDPR wet en regelgeving vereist, naast deze features, ook dat de leesstatus van berichten getoond wordt: is het bericht geopend, gelezen, zijn de bijlagen gedownload enzovoort. Daarbij hoort ook een totaal overzicht van de risico’s en bijvoorbeeld een overzicht per eindgebruiker. Zo kan een manager bijsturen als iemand bijvoorbeeld nooit gevoelige gegevens beveiligd verstuurt. “Het gebruiken van Zivver geeft mij, als IT-manager, zekerheid. Zivver gaat niet alle datalekken tegenhouden. Als er een datalek voorkomt, kunnen we aantonen dat we alles in het werk hebben gesteld om op een veilige manier te werken. Dit kan boetes voorkomen.” Met het gebruik van Zivver is het Heilig Hart Ziekenhuis in Leuven wat e-mailen betreft compliant aan de GDPR.

"Wij zijn zeer tevreden over Zivver. We hebben ook hele positieve feedback gekregen van de medewerkers.”

Vlekkeloze oplevering

De implementatie van Zivver ging stapsgewijs. Eerst gingen drie afdelingen aan de slag met Zivver, al snel daarna de andere afdelingen. Medewerkers kregen via walk-in sessies in 10 tot 15 minuten uitleg. “We hebben nauwelijks functionele vragen gehad. Ook niet van patiënten.” In zijn jaren als IT-manager heeft Johan Konings niet eerder zo’n vlekkeloze oplevering meegemaakt. “Op onze vragen kwamen duidelijke antwoorden. Ook online biedt Zivver veel uitgebreide uitleg. Werkten alle IT-leveranciers maar zo. Wij zijn zeer tevreden over Zivver. We hebben ook hele positieve feedback gekregen van de medewerkers.” De eenvoud van Zivver valt ook externen op. “De woonzorgcentra die nu via Zivver gemaild worden over de plaatsing van patiënten hebben interesse getoond.”

Johan Koning is uitgenodigd om tijdens een sessie zijn ervaringen te delen over deze oplossing voor veilig mailen. Terugkijkend concludeert hij dat het loskrijgen van het budget nog het moeilijkst was. “Zonder de druk van de dreigende GDPR-wet was het niet gelukt.” Zivver is een betaalde oplossing, maar de soepele implementatie en het gebruiksgemak maken veel goed. Rondom de implementatie had het Heilig Hart Leuven weinig arbeidskosten. “Het deployen van de plug-in was weinig werk. Omdat Zivver zo intuïtief werkt en weinig vragen opriep, kostte het niet veel tijd van onze eigen medewerkers.” In de toekomst wil het Heilig Hart Leuven Zivver nog verder uitbreiden. Het versturen van grote bestanden kan ook veilig via Zivver. Gewone e-mail kan meestal geen bestanden groter dan 10 MB aan. Medewerkers gebruiken dan externe clouddiensten als Dropbox of WeTransfer. Dat is minder veilig. “In een volgende fase willen we de toegang tot deze clouddiensten verhinderen. Eventueel gaan we nog weer later het e-mailen via een formulier op onze website ook beveiligen.”