Hoe verbetert de zorgsector veilige communicatie (ongeacht infrastructuur en softwareleverancier)?

6 min lezen
Praktische oplossingen voor beter digitaal communiceren in de Zorg - DEEL 2

Praktische oplossingen voor beter digitaal communiceren in de Zorg - DEEL 2

Veilig communiceren moet gemakkelijk zijn, zowel intern als extern. Hier zitten echter nogal wat haken en ogen aan. Dit komt onder andere omdat het volgens wet- en regelgeving belangrijk is om inzicht te krijgen in wie, wanneer, toegang heeft tot welke privacygevoelige (medische) gegevens. Waarom is dat eigenlijk vastgelegd en waarom is ‘gewone’ mail niet veilig genoeg? Zijn post en de faxmachine (die nog verrassend veel gebruikt wordt door zorgorganisaties!) wèl veilig?

In deze reeks '8 praktische oplossingen voor beter digitaal communiceren in de zorg' bespreken we uitdagingen, oplossingen en praktijkvoorbeelden van zorgorganisaties in Nederland en België. In dit artikel staat 'Veilig communiceren met derde partijen ongeacht hun communicatie-oplossing en infrastructuur' centraal.

Digitale communicatie en het op een veilige manier delen van patiëntendata blijkt een typisch Nederlands issue te zijn, volgens het rapport Digital Transformation: Shaping the Future of European Healthcare van Deloitte. De reden? Vaak staan privacy-overwegingen dat in de weg.

Bijna de helft van alle respondenten van het onderzoek (44%) geeft aan dat dit een probleem is bij de implementatie van digitale transformaties. Een zeer hoog percentage wanneer je bedenkt dat het overgrote gedeelte van de Nederlandse zorginstellingen al gebruikmaakt van veilige communicatie-oplossingen. Waar gaat het dan fout? 

Zorginstellingen maken nog veelvuldig gebruik van fax en post omdat zij zich zorgen maken om de veiligheid en het gemak van digitaal communiceren. Dit staat digitalisering in de weg.



Download het complete '8 praktische oplossingen voor beter digitaal communiceren in de zorg' e-book van zorgplatform Skipr en Zivver via deze link



Uitdaging: systemen voor veilige communicatie hebben moeite om makkelijk met elkaar te communiceren

De kern van digitale communicatie anno 2021 is e-mail. Dit is nog steeds de meest gebruikte communicatievorm, ook in de zorgsector. Uit onderzoek is gebleken dat medewerkers gemiddeld twee uur per dag spenderen aan het werken met e-mail. Het mooie van e-mail is dat vrijwel iedereen het snapt, toegang tot e-mail heeft en dat er standaarden voor zijn. 

Waarom gebruiken we dan niet 'gewoon' e-mail om data uit te wisselen? We gaan terug in de tijd, naar de jaren '60 om precies te zijn. De technologie van e-mail is destijds gebouwd op verschillende standaarden. Die standaarden zijn in de loop der tijd uitgebreid of aangevuld, waaronder SMTP, en STARTTLS. Het nadeel van deze standaarden is echter dat ze, mede doordat ze stammen uit een tijd waarin veiligheid nog niet top of mind was, onvoldoende in staat zijn om de veiligheid te bieden die nodig is voor het uitwisselen van gevoelige (gezondheids)informatie.

Dit is één van de redenen dat zorginstellingen nog veelvuldig gebruikmaken van fax en post. Zij maken zich zorgen om de veiligheid en het gemak van digitaal communiceren. Middels 'gewone' e-mail kunnen zorginstellingen de veiligheid van data immers niet garanderen. Dit staat digitalisering in de weg.

Experts: "Softwareleveranciers in de zorgsector moeten interoperabiliteit garanderen om deze uitdaging op te lossen."   

De standaarden achter de techniek van e-mail hebben dan ook veel zwakke plekken - en bovenal is STARTTLS een opportunistisch protocol. We duiken dieper de materie in.

Je kan tegenwoordig (START)TLS met één klik inschakelen, maar het lost het probleem rondom veilig digitaal communiceren niet op. Je bent nog steeds afhankelijk van de serverinstellingen van de ontvanger. Om een veilige verbinding te maken, moeten zowel de verzender als de ontvanger TLS gebruiken. Wanneer er geen beveiligde verbinding kan worden gemaakt bij de ontvanger, levert Gmail bijvoorbeeld e-mails en bijlagen af via niet-beveiligde verbindingen. In sommige gevallen wordt de e-mail helemaal niet afgeleverd.

Om deze tekortkomingen van e-mail te compenseren zijn leveranciers oplossingen gaan maken die wel de benodigde veiligheid bieden. Elke leverancier heeft echter zijn eigen oplossing bedacht, waardoor er inmiddels een aanzienlijk aantal losse oplossingen bestaan die niet met elkaar praten. Met als gevolg dat ontvangers last hebben van het feit dat de verzender een andere oplossing heeft gekozen dan zij en meestal moeten inloggen op een, vaak onhandig, portaal van een ander product. Wat niet alleen onhandig is, maar ook inefficiënt en communiceren niet vergemakkelijkt.

Interoperabiliteit, wat is dat? 

Om dit te verhelpen waren bindende afspraken over zogenaamde interoperabiliteit nodig. Een voorbeeld ter duiding: interoperabiliteit zorgt ervoor dat de consument X met zijn KPN-abonnement gewoon kan bellen met consument Y wanneer zij belt via het netwerk van VodafoneZiggo. De netwerken communiceren met elkaar zonder dat de consument het door heeft. Dit moet ook het geval zijn in het proces van beveiligde communicatie. 

Is e-mail een veilig communicatiekanaal? 

Zivver CIO Rick Goud beantwoordt in deze YouTube serie de meest gezochte vragen op Google over veilige communicatie. In deze video legt hij beknopt uit waarom 'gewone' e-mail niet veilig genoeg is. Het antwoord op de vraag of e-mail een veilig communicatiekanaal is, is dus volmondig 'Nee'. Dat betekent echter niet dat zorgorganisaties moeten stoppen met mailen. Lees onder de video verder. 

 

Oplossing: ministerie verplicht leveranciers èn zorginstellingen interoperabel te werken

Om deze - en andere uitdagingen - op te lossen werkten belanghebbenden en experts uit de zorg aan een normenkader voor veilige e-mail, waarin ook deze interoperabiliteit een belangrijke rol speelt. Het traject startte in 2018 en eindigde met de publicatie van de norm NTA 7516 in het voorjaar van 2019. Op 20 mei 2020 werd ook certificatie voor NTA 7516 mogelijk met de publicatie van het certificatieschema NCS 7516.

Zowel zorgorganisaties als softwareleveranciers hebben zich te houden aan de norm. Dit zou het in de toekomst makkelijker moeten maken voor zorgorganisaties om hun communicatiestromen te digitaliseren en zo te innoveren. De NTA 7516 legt de verantwoordelijkheid bij de verzender (zorgorganisatie) om te zorgen dat informatie veilig en geauthentiseerd bij de ontvanger terechtkomt. Deze verantwoordelijkheid van de verzender vloeit voort uit de AVG en specifieke aanwijzingen van de Autoriteit Persoonsgegevens rondom toegangsbewaking.

Vanuit het oogpunt van interoperabiliteit is het echter wenselijk en noodzakelijk om het mogelijk te maken deze verantwoordelijkheid over te dragen aan een ontvanger die zelf ook voldoet aan de NTA 7516. Door te voldoen aan de NTA 7516 geeft deze organisatie de garantie dat zij zelf zorg draagt voor passende beveiliging van berichten en authenticatie van gebruikers binnen haar eigen omgeving. 

Advies is dus; voor het kiezen van een leverancier voor veilige communicatie is het cruciaal om op te vragen op welke punten zij NTA 7516 gecertificeerd zijn.

Advies is dus: voor het kiezen van een leverancier voor veilige communicatie is het cruciaal om op te vragen op welke punten zij NTA 7516 gecertificeerd zijn.Advies is dus: voor het kiezen van een leverancier voor veilige communicatie is het cruciaal om op te vragen op welke punten zij NTA 7516 gecertificeerd zijnAdvies is dus: voor het kiezen van een leverancier voor veilige communicatie is het cruciaal om op te EEr zitten echter wel haken en ogen aan de norm. Interoperabiliteit is de rode draad in de norm, maar de norm bestaat uit veel meer dan dat. De norm beschrijft aan welke ruim twintig eisen organisaties en de oplossingen die zij gebruiken moeten voldoen als ze willen claimen veilig te zijn. Dit zijn eisen ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging.

Leveranciers kunnen namelijk gecertificeerd zijn op verschillende punten binnen de NTA 7516-normering. Om echt makkelijk met derden veilig te communiceren is dus noodzakelijk om een leverancier te kiezen die met alle systemen kan praten. Het niet hoeven aanmaken van een account om informatie te kunnen lezen en ontvangen is een van de punten uit de NTA 7516, maar dat is cruciaal om deze uitdaging op te lossen.

SJG Weert: "Om een structureel veiligere en meer gebruiksvriendelijke optie te kunnen bieden, kozen we voor een nieuwe - digitale - oplossing."

Advies is dus: voor het kiezen van een leverancier voor veilige communicatie is het cruciaal om op te vragen op welke punten zij NTA 7516 gecertificeerd zijn. Ga dan goed na welke punten voor jouw organisatie belangrijk zijn om het digitale communicatieproces zo gemakkelijk mogelijk te maken - en het allerbelangrijkste: stel interoperabiliteit centraal. 

Praktijkvoorbeeld veilig en makkelijk communiceren ongeacht softwareleverancier: SJG Weert

“Voor de uitwisseling van patiëntgegevens met onze partners hebben we verschillende mogelijkheden”, vertelt Annemiek Knipscheer, voormalig Information Security Officer van SJG Weert (tegenwoordig Information Security Officer bij Catharina Ziekenhuis). “Via ons ziekenhuisinformatiesysteem en ZorgMail konden we bijvoorbeeld veilig informatie met huisartsen delen. Er was echter geen structurele oplossing voor veilige communicatie met partners waar wij zelf patiënten naar doorverwijzen. Fax bleek destijds dan het meest veilige middel. Maar dat is natuurlijk niet werkbaar. Om een structureel veiligere en meer gebruiksvriendelijke optie te kunnen bieden, kozen we voor een nieuwe - digitale - oplossing.”

Een ander belangrijk pluspunt is volgens Knipscheer het feit dat partners niet over een account hoeven te beschikken om informatie uit te wisselen. “Het doorverwijzen naar deze partners gebeurt ad hoc”, motiveert ze. “Het is praktisch onhaalbaar met al deze verschillende partijen aparte gebruiksafspraken te maken. Desalniettemin dwingen we onze partners met de introductie van een veilig kanaal tot een extra handeling. Onervaren gebruikers kunnen dit als complex ervaren. Mede daarom is de grote gebruiksvriendelijkheid en interoperabiliteit een belangrijk voordeel en cruciaal in het keuzeproces naar de juiste oplossing."

Lees het hele interview met SJG Weert

E-book: '8 praktische oplossingen voor beter digitaal communiceren in de zorg' 

Download het complete '8 praktische oplossingen voor beter digitaal communiceren in de zorg' e-book van zorgplatform Skipr en Zivver via deze link.

Benieuwd wat Zivver voor jouw zorgorganisaties kan betekenen? Bekijk de Zivver voor zorginstellingen pagina op onze website of bekijk onze pricing.

Geschreven door

Kevin Lamers

Gepubliceerd op februari 3, 2021

Laatst gewijzigd op februari 5, 2021