SmartHealth: E-mailen van patiëntgegevens moet veiliger, maar wat is veilig?

6 min lezen
hugodejonge1-1024x484

hugodejonge1-1024x484

Je zou verwachten dat zorgorganisaties en hun medewerkers inmiddels weten dat gevoelige persoonsgegevens niet via gewone mail of chatdiensten mogen worden verstuurd. Maar steeds weer duiken nieuwe voorbeelden op van uiterst gevoelige dossiers die op straat komen. Een afdeling van Bureau Jeugdzorg in Utrecht liet duizenden dossiers in handen vallen van derden omdat medewerkers onversleutelde e-mails naar een verlopen domeinnaam verstuurden, zo meldde RTL Nieuws vorige week. Vorige week werd ook bekend dat onbevoegden toegang tot de e-mailaccounts van medewerkers van het Elkerliek ziekenhuis wisten te krijgen. In die e-mailaccounts stonden persoonsgegevens van patiënten. Het is het topje van een ijsberg, zeggen beveiligingsexperts.

De oplossing lijkt voor de hand te liggen. Alle zorginstellingen zouden gebruik moeten maken van beveiligde e-mail verbindingen. Dat zegt minister Hugo de Jonge in een brief die hij naar aanleiding van de incidenten gisteren naar de Tweede Kamer stuurde.

Hoe veilig is veilig?

Maar wat is beveiligde e-mail? Wanneer kun je e-mail of chatverbindingen met een gerust hart gebruiken om te communiceren met collega’s, patiënten of mantelzorgers? Zorgprofessionals en bestuurders zijn gebonden aan wetgeving die de vertrouwelijkheid van persoonsgegevens moet waarborgen, zoals de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Europese privacywet AVG. Daarnaast bestaan er al langer zogeheten veldnormen waaraan ICT-systemen moeten voldoen, zoals de NEN 7510 norm. Maar ondanks, of misschien door, die wetten en regels was het niet helder wanneer e-mail voldoende veilig is, zo constateerde het ministerie van VWS vorig jaar samen met zorgpartijen. En daarnaast bleken systemen die claimen wel voldoende veilig te zijn onderling niet samen te werken. Daarom startte het zogeheten Informatieberaad Zorg eind vorig jaar een project ‘Veilige Mail’.

 

Snelkookpan

Het idee was om patiënten, zorgaanbieders, leveranciers, regio-organisaties en deskundigen op het gebied van informatiebeveiliging en wetgeving in een snelkook-traject van enkele maanden te laten werken aan een norm die kristalhelder beschrijft wanneer e-mailcommunicatie veilig is.

Beter dichtbijDe norm gaat ook gelden voor chatdiensten als Beter Dichtbij

Op 10 oktober vorig jaar was de eerste bijeenkomst, en vorige maand heeft de werkgroep de concept norm 7516 ‘Eisen voor veilige e-mail & chatapplicaties’ goedgekeurd voor publicatie. De norm heet officieel NTA: Nederlands Technische Afspraak. De laatste redactionele verbeteringen worden nu verwerkt. De publicatie vindt plaats in mei dit jaar. Vanaf dat moment is er, zoals minister de Jonge deze week naar de Tweede Kamer schrijft, een norm waarop zorgprofessionals en bestuurders kunnen teruggrijpen wanneer ze willen toetsen of ze e-mail veilig gebruiken.

 

Ad hoc

De NTA 7516 heeft als ondertitel ‘uitwisseling van ad hoc berichten met persoonlijke gezondheidsinformatie’. Dit is volgens de norm ‘alle communicatie waarvoor een verzender specifiek voor het geval en de situatie besluit om een bericht te versturen’. De norm gaat dus niet over systemen waarmee zorgprofessionals dossiers bijhouden of binnen hun organisatie communiceren. E-mail of chatdiensten worden vaak gebruikt omdat een patiënt of collega niet bereikbaar is via die interne ICT-systemen. En natuurlijk ook omdat e-mail laagdrempelig is en voor veel mensen sneller en gebruiksvriendelijker werkt dan het inloggen op een beveiligd portaal of het moeten downloaden van een beveiligde app. Begrijpelijk redenen om e-mail te gebruiken, maar daardoor schiet de beveiliging van medische gegevens er veel te vaak bij in, zo leert de praktijk.


Portret Rick Goud

Rick Goud (ZIVVER)

Tegelijk neemt de behoefte aan ad hoc communicatie tussen uiteenlopende partijen alleen maar toe, zegt Rick Goud, oprichter en CEO van veilige mailen aanbieder ZIVVER. Hij wijst erop dat de nieuwe norm ook gaat gelden voor gemeenten en verzekeraars. Nu de norm er is, neemt ook de druk op organisaties toe om deze te implementeren, zegt Goud. “Wanneer organisaties in mei volgend jaar compliant moeten zijn, betekent dit dat uiterlijk eind dit jaar overgestapt moet worden naar een werkwijze conform de norm.” Goud voorziet dat een hele organisatie meekrijgen ook nog een paar maanden duurt. Dit betekent volgens hem dat voor de zomer of net na de zomer selectietrajecten van leveranciers moeten worden uitgevoerd.

 

Geen technische beschrijving

De norm geeft geen technische beschrijving van systemen om mail of chatberichten te versturen. De essentie van de nieuwe norm is een tabel met criteria (specificaties) voor de beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid en uitwisselbaarheid voor veilig e-mail verkeer. De zorgprofessional, in de praktijk zullen dat koepelorganisaties of ICT-afdelingen zijn, kan aan de hand van de tabel minimale eisen aangeven die hij of zij op elk punt van zijn leverancier verwacht. In veel gevallen volgen die minimumeisen uit bestaande wetgeving, zoals de Europese eIDAS-verordening die beschrijft waaraan veilige inlogmiddelen moeten voldoen.


DigiDInloggen met uitsluitend gebruikersnaam en wachtwoord niet voldoende

Wanneer je bijvoorbeeld de garantie wilt hebben dat berichten uitsluitend door de beoogde ontvanger kunnen worden gelezen, dan is een combinatie van gebruikersnaam en wachtwoord niet voldoende. De ontvanger zal zich met zogeheten twee-factormiddelen moeten authenticeren, bijvoorbeeld een SMS-bericht of een app die een schermcode scant. Voor zorgprofessionals, die met beroepsgeheim te maken hebben, zijn zelfs nog sterkere inlogmiddelen nodig om veilig e-mail te versturen.

 

Vragen

De norm beoogt antwoord te geven op vragen als:

- Hoe zeker weet de ontvanger dat de afzender daadwerkelijk is wie zij/hij zegt dat hij is en dat de afzender inderdaad werkzaam is voor een bepaalde organisatie?
- Hoe weten verzender en ontvanger zeker dat het verstuurde bericht ongeschonden is ontvangen en hoe wordt voorkomen dat gegevens tijdens het transport in onbevoegde handen komen?
- Hoe wordt voorkomen dat een ontvangen bericht wordt gelezen door een onbevoegde?
- Hoe weet de ontvanger zeker dat de afzender gerechtigd was om het ad hoc bericht te versturen?

Het antwoord volgt zoals gezegd in veel gevallen uit bestaande wetten, normen en overeenkomsten, zoals een verwerkersovereenkomst. De NTA 7516 inventariseert en verduidelijkt hoe deze van toepassing zijn op systemen voor veilige e-mail en ander ad hoc berichtenverkeer. Daarnaast geeft de norm aanbevelingen voor criteria die specifiek zijn voor e-mail diensten en dus te algemeen worden beschreven in bestaande wetten en normen. Leveranciers die de vereiste criteria kunnen leveren kunnen dat aan zorgprofessionals en consumenten laten weten door een NTA 7516 certificaat te voeren. Ze moeten zich dan wel door een onafhankelijke partij laten auditen.


NEN-7510 plaatjeBestaande normenkaders als NEN7510 nog steeds van toepassing

Eigen verantwoordelijkheid blijft

Wanneer de norm in mei gepubliceerd wordt, zijn daarmee nog niet alle praktische problemen rond het gebruik van veilige e-mail in de zorg van tafel. De grote winst is dat zorgorganisaties nu kunnen verwijzen naar een door alle partijen gedragen norm wanneer ze rond de tafel zitten met aanbieders als ZIVVER, ZorgMail of andere aanbieders van veilige e-mail. Tot nu toe had elke ICT-aanbieder een eigen interpretatie van wat ‘veilige’ e-mail is. Maar veilig e-mailen heeft ook te maken met cultuur, organisatorische maatregelen en voldoende besef voor cyber-risico’s bij zorgprofessionals en andere medewerkers. De nieuwe norm is hiervoor geen wondermiddel.

 

Multikanaalcommunicatie?

Een andere hete aardappel die in deze norm nog even is doorgeschoven behelst de samenwerking tussen de diverse aanbieders. Het zou gemakkelijk en gebruiksvriendelijk zijn wanneer de goed beveiligde e-mail van een verzender die met ZIVVER werkt probleemloos in de inbox van een ZorgMail gebruiker terecht komt en vice versa. Een aantal aanbieders van beveiligde e-mail systemen (Google en Microsoft horen daar trouwens niet bij) heeft de intentie uitgesproken om binnen 52 weken na het gereedkomen van de definitieve specificaties onderling veilige mail te kunnen uitwisselen zonder dat gebruikers daar iets voor moeten doen. Daarvoor moeten afspraken worden gemaakt over de manier waarop die aanbieders hun systemen gaan koppelen. Dat is een proces van wheelen, dealen en water bij de wijn doen dat nu in volle gang is.

Zelfs wanneer Nederlandse aanbieders onderling samenwerken, wil dat nog niet zeggen dat de nieuwe norm ook geadopteerd zal worden door Google en Microsoft, die met Gmail en Office365 een groot deel van de particuliere en zakelijke email markt bedienen. Hier speelt de discussie rond zorgdata in de cloud ook nog mee. Maar los van wat Google en Microsoft doen, zou een transparante samenwerking tussen de Nederlandse aanbieders van veilige e-mail oplossingen voor de zorg een flinke stap vooruit zijn voor hun huidige gebruikers.

 

Te risicovol?

Er zijn ook tegenstanders van het gebruik van e-mail voor medische gegevens. Marc Smits van de Stichting Privacy First stelt dat het technisch mogelijk is e-mail versleutelen en zo bijvoorbeeld te beveiligen tegen een hack van de mail-server (zoals in het Elkerliek ziekenhuis het geval was), of afluisteren onderweg. De nieuwe norm lijkt hier volgens hem niet in te voorzien.

Privacy First vindt de doelstelling van de nieuwe norm, het versturen van patiëntgegevens via e-mail, “opportunistisch en risicovol”. “Medische gegevens dienen niet verstuurd te worden via e-mail”, zegt Smits. “Het is het recht van een patiënt om de regie te voeren over de uitwisseling van gegevens. Door het gebruik van e-mail wordt de patiënt het zicht op de uitwisseling van gegevens ontnomen. Wat de zorg nodig heeft is een decentrale uitwisselingsarchitectuur. E-mail is niet de oplossing.”

Mark de Lange, projectleider van het Veilige Mail project, pleit overigens ook voor gestructureerde gegevensuitwisseling als voorkeursoplossing. Dit is volgens hem echter (nog) niet altijd mogelijk. In die gevallen kan gebruik worden gemaakt van e-mail, mits hierbij wordt voldaan aan de NTA-norm, aldus De Lange.

Door Jan Jacobs, bron: SmartHealth

Geschreven door
Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.

Gepubliceerd op april 18, 2019

Laatst gewijzigd op juli 19, 2019