Zorgverleners en patiënten versturen via e-mail regelmatig patiëntinformatie zonder dat die gegevens goed beveiligd zijn. Dat moet anders, er moet een standaard komen voor de beveiliging van e-mailverkeer tussen zorgverleners en patiënten, zorgverleners onderling en patiënten en naasten (bijvoorbeeld mantelzorgers). Zorgverleners en het ministerie van VWS zijn daarom het project Veilig Mailen gestart.
Dat initiatief komt van Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport. Het doel is om veilig mailen in de zorg sneller te realiseren. ‘Op dit moment worden patiëntgegevens nog niet veilig gemaild, terwijl de zorgsector hier wel behoefte aan heeft’, stelt Mark de Lange, projectleider Veilige Mail.
‘In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis. Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie’, licht De lange toe.
Hij vertelt dat samen met de normcommissie Nen een standaard wordt ontwikkeld. 10 oktober 2018 is de eerste bijeenkomst bij Nen. ‘Daar moet uiteindelijk een standaard uitkomen voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.’
Fax en Hotmail
Het plan is om de norm begin 2019 vast te stellen, medio 2019 moet helder zijn in hoeverre bestaande oplossingen van ict-partijen daaraan voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm. Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen, legt De lange uit.
Halverwege 2019 moet er ook een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en er moet een toetsingskader liggen voor de AP (Autoriteit Persoonsgegevens). Volgens De Lange vindt de AP de beveiliging van medische gegevens belangrijk, maar liggen er nu nog geen duidelijke documenten waarop zij partijen kunnen afrekenen.
‘Er staan ook nog de nodige faxen in de zorg, het wordt tijd dat we daar ook wat aan gaan doen’, schetst De Lange, hij vervolgt: ‘Bovendien wordt gevoelige patiëntinformatie nu nog via onvoldoende beveiligde verbindingen, bijvoorbeeld Hotmail, verstuurd.
Waarom moet daar iets voor ontwikkeld worden? Dat bestaat al lang.Je kunt een certificaat bij je email-programma laden, en als de andere partij dat ook doet, dan kun je onderling gecertificeerde en beveiligde (encryptie) mails uitwisselen, die alleen op de eindpunten leesbaar zijn.
Inderdaad, certificaten bestaan al lang, daarbovenop zou je nog een extra laag kunnen toepassen met bijvoorbeeld PGP sleutels. Ik gebruik het al jaren en dit werkt uitstekend. Maar blijkbaar wil men altijd maar weer het wiel uitvinden.
Transport kan al een tijd lang veilig worden gemaakt, ik hoop echter dat dit verder gaat en ook de maildata na aankomst in de mailbox (bijv. Outlook) zal beschermen (want daar zit het grootste risico op lekkage).
Daarom verstrek nooit een emailadres aan uw zorginstelling. Dan ontstaat ook niet het gevaar dat daar onzorgvuldig mee omgegaan wordt.
Om berichten en documenten veilig te versturen heeft de overheid een berichtenbox ontwikkeld. Naast de belastingdienst, gemeenten en waternetbedrijven, kunnen zorginstellingen hier ook op aansluiten. Eenduidige oplossing.
@Johan Duinkerken:
Ik kan mijn email programma zodanig instellen dat het alleen emails verstuurt als ik het certificaat van de ontvanger heb, zodat alle emails gecertificeerd en met encryptie verzonden worden. Je kunt die berichten dus niet lezen met een web mail pagina bij je provider.
@Peter G:
Mijn overheid.nl is omslachtig, en vaak ook halfbakken. Ik kreeg daar laatst een berichtje van het ABP, dat ik bij het ABP moest inloggen om een bericht te lezen. Alleen lukte dat niet omdat hun web server er uit lag. Handig..
@Dirk … de vraag is denk ik niet zozeer wat er technisch kan, maar wat voor de gebruikers werkt. Een mailtje lezen en beantwoorden lukt de meeste mensen wel, maar als ze bijv. voor iedere zorgaanbieder een (voor een gebruiker) omslachtige procedure moeten volgen om certificaten te installeren zullen velen al snel afhaken.
Ik heb ondertussen web-based portals gezien waar zorgverleners, na toestemming van de patient, gegevens kunnen delen met elkaar en patient; werkt mijns inziens een stuk klantvriendelijker
@PA VA KE:
Er is een kleine misvatting. Je hoeft alleen voor je eigen email account een certificaat te installeren. Zodra je een email met een certificaat ontvangt van iemand anders, dan wordt dat certificaat automatisch opgeslagen. Daar hoef je niets voor te doen. Je moet overigens voor ieder email account dat je zo wilt gebruiken, een certificaat installeren. Heb je drie email accounts, dan moet je drie certificaten installeren.
Quote:
“Bovendien wordt gevoelige patiëntinformatie nu nog via onvoldoende beveiligde verbindingen, bijvoorbeeld Hotmail, verstuurd.”
Hotmail is net zo veilig (of onveilig) als andere goede mailproviders. Het is alleen onveilig als men op de afdeling een gezamenlijk Hotmail account heeft, waar iedereen het wachtwoord van weet.
We hebben tegenwoordig DigiD met 2FA, wat is er mis mee om dat te gebruiken voor vertrouwelijke communicatie? Dan moet je inloggen op een site om je bericht te lezen, maar dan kun je ook meteen antwoorden in dezelfde veilige portal. Als ze de beveiliging ten minste op orde hebben!
Het gaat niet om de verbindingen. Ik heb op mijn ingaande en uitgaande mail verkeer natuurlijk TLS encryptie geactiveerd. Maar als ik op die manier een mail bericht verzend, dan komt het nog steeds als leesbare tekst op de mailserver van mijn provider terecht. Daarom kan ik ook met een web interface de berichten op die mail server lezen.
De methode die ik eerder aan gaf zorgt er voor dat het mail bericht pas leesbaar wordt bij het eindpunt, nooit eerder. Dus 100% beveiliging van eindpunt naar eindpunt. Standaard feature van ieder fatsoenlijk mail programma..