De zorgsector gebruikt steeds vaker mail om vertrouwelijke gegevens te versturen. Daarbij voldoet ze vaak niet helemaal aan de wet- en regelgeving die onder meer de privacy beschermen. Dat is slechts deels een kwestie van geld en middelen; het belangrijkst is dat de zorg de juiste prioriteiten stelt. Daarnaast speelt de enorm toegenomen complexiteit van mailbeheer een rol. Dat maakt een alomvattende, integrale aanpak cruciaal.
|
Op 24 oktober 1995 vaardigde de Europese Commissie een richtlijn uit op grond waarvan de privacy van burgers in de Europese Unie moet worden beschermd. Deze Europese privacyrichtlijn (95/46/EG) is door de Nederlandse overheid in 2001 omgezet in de WBP. Wanneer persoonsgegevens, zoals medische data, per mail worden verstuurd, is de WBP hierop van toepassing. Op grond van artikel 13 van die wet moeten organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Een zorginstelling die medische gegevens verstuurt via internet, moet daarom passende maatregelen treffen om de vertrouwelijkheid en integriteit van deze gegevens te waarborgen.
Boetes
Het CBP (College Bescherming Persoonsgegevens) is de onafhankelijke instantie die erop toeziet dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy van burgers ook in de toekomst beschermd blijft. Het CBP kan overtredingen van de WBP bestraffen. In augustus 2004 werden enkele gemeenten, arbodiensten, zorgverzekeraars en privaatrechtelijke ondernemingen beboet omdat ze niet voldeden aan de in artikel 28 WBP vereiste meldingsplicht. De boetes varieerden van drie- tot vijftienduizend euro, afhankelijk van het aantal niet gemelde registraties per organisatie.
Een ict-manager van een zorginstelling in de regio Amsterdam is op de hoogte van deze meldingsplicht. Tegelijk laat ze weten dat de aandacht voor de WBP in haar organisatie onvoldoende is. “Wij hebben wel formulieren ontvangen voor de melding en deze zijn de organisatie ingegaan, maar ik kan niet garanderen dat ze uiteindelijk naar het CBP zijn verstuurd. Op het centraal en eenduidig verzamelen en verstrekken van dergelijke informatie is onze organisatie onvoldoende ingericht.”
De ict-manager geeft toe dat er verbetering mogelijk is. “Sommige medewerkers werken vanuit huis. Ze versturen daarvoor documenten met medische gegevens naar hun privé-mailadres en van daar uit terug naar de instelling. In het verleden zijn adresseringsfouten gemaakt, waardoor vertrouwelijke gegevens op een verkeerde plek terechtkwamen. Gelukkig heeft de foutief geadresseerde nooit misbruik gemaakt van de informatie.” Ze vertelt dat in haar organisatie documenten altijd onbeveiligd worden verstuurd, ondanks het feit dat dit op basis van de WBP wel nodig kan zijn. “Beveiligingsmaatregelen als de encryptie van mail zijn praktisch en organisatorisch niet ingevoerd, terwijl dit voor ons wel technisch te realiseren is.”
Risico’s
Naast de WBP is de Nederlandse norm voor informatiebeveiliging NEN 7510 een relevante richtlijn voor de zorgsector bij het gebruik van mailsystemen. Deze norm is ontwikkeld door vertegenwoordigers van zorgverleners, patiënten, instellingen, industrie en overheid. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van informatiebeveiligingsmaatregelen door een zorginstelling. De organisaties waarop de norm zich richt, variëren van individuele hulpverleners tot grote zorginstellingen en verwante organisaties, zoals netwerkorganisaties en zorgverzekeraars. De maatregelen verschillen per type organisatie. Mailsystemen zijn een belangrijk onderdeel van de informatievoorziening en vallen daarom onder NEN 7510.
Het voldoen aan deze norm is nog niet verplicht voor zorginstellingen, maar dat zal niet lang meer duren. De Inspectie voor de Gezondheidszorg bijvoorbeeld gaat in 2005 controleren of ziekenhuizen NEN 7510 volgen. Het voornemen van de inspectie staat in de conclusies van het rapport Ict in ziekenhuizen, Beveiliging van informatie nog onvoldoende voor een betrouwbare papierloze patiëntenzorg (Inspectie voor de gezondheidszorg, Den Haag, augustus 2004).
Vanwege de risico’s van ict-toepassingen is het volgens de inspectie van groot belang dat “ziekenhuizen de NEN 7510-norm voor informatiebeveiliging in de zorg gaan gebruiken.” Het rapport concludeert dat “ziekenhuizen onvoldoende rekening houden met de risico’s die ict met zich meebrengt. Zo kunnen belangrijke patiëntgegevens verloren gaan, is het mogelijk dat patiëntgegevens op de verkeerde plaats terechtkomen en behandelingen kunnen verstoord raken door niet goed functionerende apparatuur. Er dient meer aandacht te komen voor een betrouwbare beschikbaarheid van informatie.”
Onder druk
Het rapport concludeert verder dat de privacybescherming in de ict-systemen van ziekenhuizen niet goed is geregeld. Volgens de inspectie moet de WBP in ziekenhuizen beter worden geïmplementeerd. Jacobine Wieggers, adviseur bij In View, komt in haar werk regelmatig problemen met privacybescherming tegen. Bij een ziekenhuis waar kon worden aangenomen dat specialisten mail gebruiken om vertrouwelijke medische gegevens te versturen, waren de technische middelen beschikbaar om deze mail te beveiligen, waaronder een licentie op een encryptie-applicatie. Toch kwam het er niet van door onvoldoende tijd en prioriteit ten aanzien van installatie en beheer.
Volgens Wieggers is het voldoen aan privacywetgeving en NEN7510 maar deels een kwestie van geld en middelen. Bepalender is het stellen van de juiste prioriteiten. “Op het moment dat instellingen voldoende onder druk worden gezet om hun zaken op orde te hebben, bijvoorbeeld wanneer er sancties worden gesteld, zal de aandacht voor de bescherming van de privacy van cliëntgegevens vanzelf groeien.”
Betrouwbaarheid
Bij het gebruik van mailsystemen zijn drie betrouwbaarheidskenmerken van belang: beschikbaarheid, integriteit en vertrouwelijkheid. Beschikbaarheid wil zeggen dat mailsystemen moeten functioneren op het moment dat dit voor het uitvoeren van een taak noodzakelijk is. In de zorgsector zijn vooral de ondersteunende administratieve functies in toenemende mate afhankelijk van de beschikbaarheid van mail. Integriteit heeft te maken met de correctheid van gegevens. Onbevoegden mogen de inhoud van een mailbericht niet kunnen wijzigen, en berichten mogen niet worden verminkt door technische fouten. Vertrouwelijkheid gaat over de bevoegdheid om informatie te lezen. Onbevoegden mogen dus geen mailberichten lezen die vertrouwelijke informatie bevatten.
Naast deze betrouwbaarheidskenmerken is controleerbaarheid van belang om achteraf te kunnen vaststellen of aan de betrouwbaarheidseisen is voldaan. Het moet bijvoorbeeld mogelijk zijn om vast te stellen of een bericht echt is verstuurd en of de inhoud van dit bericht overeenkomt met hetgeen later wordt beweerd.
Geschaad
Het gebruik van online-communicatiemiddelen als telefoon, fax en mail brengt risico’s met zich mee die de vertrouwelijkheid, integriteit en beschikbaarheid van informatie schade kunnen toebrengen.
De vertrouwelijkheid wordt geschaad wanneer medische gegevens in handen komen van onbevoegden, bijvoorbeeld doordat mailberichten onbeveiligd worden verstuurd over interne (intranet) of externe (internet) netwerken. Technisch onderlegde collega’s of hackers kunnen deze berichten zonder veel moeite onderscheppen en lezen. Ook het printen van mailberichten op een printer die staat op een vrij toegankelijke plaats kan vertrouwelijke gegevens toegankelijk maken voor onbevoegden, zoals de schoonmaker, het onderhoudspersoneel of collega’s.
De integriteit van vertrouwelijke gegevens kan eveneens beschadigd raken. Een kwaadwillende systeembeheerder of hacker kan met enige moeite ongemerkt de inhoud van een mailbericht of meegestuurde documenten wijzigen. De beschikbaarheid van informatie en systemen kan schade oplopen doordat een netwerk overbelast raakt door te veel spam of een virus dat de mailserver laat crashen.
Praktisch
Zorginstellingen moeten aan de hand van een risicoanalyse bepalen wat de mogelijke gevolgschade kan zijn wanneer de vertrouwelijkheid, integriteit en beschikbaarheid worden geschaad of wanneer de controleerbaarheid onvoldoende is gegarandeerd.
Dergelijke gevolgschade kan betrekking hebben op diverse zaken: juridische aspecten (wanneer sprake is van strijdigheid met (privacy)wetgeving als de WBP of regelgeving als NEN 7510); financieel-economische aspecten (wanneer het herstel van systemen of informatie tijd of geld kost); commerciële aspecten (wanneer de commerciële belangen van een instelling beschadigd raken); politieke aspecten (wanneer de politieke belangen van personen of organisaties schade oplopen); imago (wanneer de geloofwaardigheid van of het vertrouwen in een persoon of instelling wordt geschaad); en veiligheid (wanneer de veiligheid van organisaties of personen onder druk komt te staan).
Op grond van de WBP is een instelling verplicht passende technische en organisatorische maatregelen te nemen. “Deze maatregelen garanderen, rekening houdend met de stand van de techniek (…) een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen”, aldus artikel 13. De WBP is echter moeilijk te relateren aan de praktijk. Wat is bijvoorbeeld de ‘stand van de techniek’?
Daarom heeft het CBP een aanvullende richtlijn opgesteld, AV23 (Achtergrondstudies en Verkenningen; Beveiliging van persoonsgegevens, nr 23, april 2001). AV23 geeft concreet weer welke maatregelen gewenst zijn bij het versturen van gevoelige persoonsgegevens over interne en publieke telecommunicatienetwerken. Deze richtlijn is niet juridisch bindend maar geeft wel handige, praktische aanknopingspunten voor het voldoen aan de WBP (zie http://www.cbpweb.nl/structuur/pag_publ.htm). Daarnaast biedt NEN 7510 normen en praktische richtlijnen voor het opstellen en invoeren van informatiebeveiligingsmaatregelen.
Open envelop
Voor het beveiligen van het gebruik van mailsystemen zijn diverse maatregelen nodig, onder meer een gebruikersrichtlijn, antispam en antivirus, archief en logging, en encryptie.
Stel een gebruikersrichtlijn voor mail op en geef deze aan de gebruikers. Die richtlijn moet gebruikers onder meer wijzen op de risico’s van het versturen en opslaan van mailberichten met gevoelige patiëntgegevens. Gebruikers realiseren zich veelal onvoldoende dat een onbeveiligde mail te vergelijken valt met het versturen van een brief in een open envelop.
De betrouwbaarheid van mailsystemen is van veel factoren afhankelijk. Er moeten onder andere passende maatregelen tegen spam, virussen, wormen en Trojaanse paarden worden genomen. Virusuitbraken verliepen in 2003 voor 80 procent via mail. Ze brachten dat jaar wereldwijd zo’n zestig miljard dollar aan kosten met zich mee. Een professionele en dagelijks ververste virusscanner is dus onontbeerlijk.
Gebruikers moeten een goed en betrouwbaar archief van hun ontvangen mail kunnen bijhouden. Deze opslag moet zijn beveiligd tegen onbevoegde toegang. Daarnaast moeten mailsystemen worden voorzien van adequate logging. Een goede logging stelt systeembeheerders in staat achteraf vast te stellen wat de oorzaak is van eventuele calamiteiten. Dat is onontbeerlijk om herhaling ervan te voorkomen.
Als het noodzakelijk is vertrouwelijke (medische) patiëntgegevens per mail te versturen, moet hiervoor beveiliging worden geïmplementeerd, bijvoorbeeld via encryptie. Er zijn diverse toepassingen die zo’n beveiliging mogelijk maken. Hierbij geldt echter dat de techniek eenvoudiger is dan de organisatie eromheen. Het implementeren van een goede beveiliging voor mail kan technisch in enkele minuten gebeuren, maar vergt op organisatorisch niveau soms enkele weken tot maanden.
Transparant
Virussen, spam, privacywetgeving, archivering, beschikbaarheidseisen, NEN7510 – wie had een paar jaar geleden kunnen denken dat het beheer van mailsystemen zo complex zou worden? Hoe ziet dit beheer eruit over een jaar, of over vijf of tien jaar? Het gebruik en onderhoud van uiteenlopende applicaties voor beheer en beveiliging van mailsystemen is vaak complex en niet eenvoudig te overzien. Veel mailsystemen maken gebruik van meerdere virusscanners, spamfiltertoepassingen, archiveringsmogelijkheden en soms een encryptie-applicatie. Deze veelheid aan beveiligingsapplicaties en bijbehorende gebruikersinterfaces, configuratie-instellingen en complexe techniek leidt regelmatig tot fouten of onvolledig geconfigureerde systemen.
Veelzeggend in dit verband is de uitspraak van de Meta Group: “Enterprises must develop a comprehensive approach to e-mail.” (Comprehensive Messaging Management: A 2004 Imperative, Meta Group, april 2004.) Zo’n alomvattende, integrale aanpak van mail betekent een zo transparant en eenvoudig mogelijk beheer door gebruik te maken van één gebruikersinterface, waarbij de onderliggende techniek van uiteenlopende beveiligingsapplicaties onzichtbaar is geworden. Daar zijn overbezette systeembeheerders ook mee geholpen, want in een integrale beheeromgeving kunnen zij efficiënt werken en wordt de kans op fouten tot een minimum beperkt.< BR>
Wil van Egdom, security consultant bij BT
