Zorgverleners en patiënten versturen via e-mail regelmatig patiëntinformatie zonder dat die gegevens goed beveiligd zijn. Dat moet anders, er moet een standaard komen voor de beveiliging van e-mailverkeer tussen zorgverleners en patiënten, zorgverleners onderling en patiënten en naasten (bijvoorbeeld mantelzorgers). Zorgverleners en het ministerie van VWS zijn daarom het project Veilig Mailen gestart.
Dat initiatief komt van Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport. Het doel is om veilig mailen in de zorg sneller te realiseren. ‘Op dit moment worden patiëntgegevens nog niet veilig gemaild, terwijl de zorgsector hier wel behoefte aan heeft’, stelt Mark de Lange, projectleider Veilige Mail.
‘In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis. Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie’, licht De lange toe.
Hij vertelt dat samen met de normcommissie Nen een standaard wordt ontwikkeld. 10 oktober 2018 is de eerste bijeenkomst bij Nen. ‘Daar moet uiteindelijk een standaard uitkomen voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.’
Fax en Hotmail
Het plan is om de norm begin 2019 vast te stellen, medio 2019 moet helder zijn in hoeverre bestaande oplossingen van ict-partijen daaraan voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm. Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen, legt De lange uit.
Halverwege 2019 moet er ook een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en er moet een toetsingskader liggen voor de AP (Autoriteit Persoonsgegevens). Volgens De Lange vindt de AP de beveiliging van medische gegevens belangrijk, maar liggen er nu nog geen duidelijke documenten waarop zij partijen kunnen afrekenen.
‘Er staan ook nog de nodige faxen in de zorg, het wordt tijd dat we daar ook wat aan gaan doen’, schetst De Lange, hij vervolgt: ‘Bovendien wordt gevoelige patiëntinformatie nu nog via onvoldoende beveiligde verbindingen, bijvoorbeeld Hotmail, verstuurd.
Laten we zeggen dat e-mail geëvolueerd is van wat regeltjes platte ASCII tekst naar wat we tegenwoordig zien. Ik vind dat prima, het voldoet daarmee aan een behoefte.
Ik heb geen PGP geïnstalleerd of geconfigureerd, en kan toch encrypted versturen. De functionaliteit behoort volledig ingebouwd te zijn in de e-mail client.
Het gebrek aan standaards, en het gebrek aan het naleven van goede standaards IS de standaard binnen de ICT. Jammer genoeg is ICT verworden tot een groot hobby en knutsel project, waar nauwelijks nog goede gedefinieerde standaards bestaan en nageleefd worden. En als ze er al zijn, dan gebruiken we ze bij voorkeur niet, want dat is zo lastig, en kost veel tijd en werk. Quick and dirty knutselen levert ook resultaat op (voor korte tijd dan).
@Dirk
zoiets als QDOS?
De ontwikkelaars daarvan hadden in ieder geval gevoel voor humor. Alleen al het feit dat er zoiets als 11.000 programmeertalen bestaan duidt er al op dat er iets grondig fout zit. Er zijn duizenden IP RFC’s, maar slechts enkele tientallen zijn echte officiële internet standaards. Maar toch gebruiken we vele van die halfbakken gedefinieerde RFC’s. Naarmate de ict belangrijker wordt, zou de kwaliteit en betrouwbaarheid hoger moeten worden, maar dat gebeurt niet. Het wordt een steeds groter rommeltje, en mijn ervaring met rommel is dat het steeds moeilijker wordt om er iets fatsoenlijks mee te doen. Goed ontwikkelde heldere standaards waar men zich aan houdt, en die verder ontwikkeld kunnen worden zijn veruit te prefereren boven al dat geknutsel met workarounds.
@Dirk
Jij zegt: “Goed ontwikkelde heldere standaards waar men zich aan houdt, en die verder ontwikkeld kunnen worden zijn veruit te prefereren boven al dat geknutsel met workarounds.”
Daar ben ik het helemaal mee eens!
Wij hebben in Nederland DigID. Hiermee kun je je legitimeren op sites van rijk en gemeente, belastingdienst, zorgaanbieders en zorgverzekeraars. Net zoals iedereen een BSN heeft, heeft iedereen die iets met officiële instanties wil regelen ook een DigID nodig. Laten we dan ook de DigID gebruiken als we vertrouwelijke informatie willen communiceren. Behalve dat het veiliger is, is het ook veel makkelijker dan geknutsel met workarounds zoals het “gewoon” aanvragen en installeren van certificaten in mail, iets wat niet heel eenvoudig en “idiot proof” is.
Leuk bedacht, maar je zet de zaken nu helemaal op zijn kop -:)
Als een instelling mij een mail bericht wil sturen, dan moet ik dat direct kunnen openen en lezen. DigiD is een workaround die bedacht is omdat mail niet encrypted verstuurd kan worden. Gisteren kreeg ik een bericht dat er bij mijn overheid.nl een bericht voor mij staat. Dus dan moet ik die webpagina openen, mijn DigiD gegevens invoeren, met een beetje geluk nog een SMS bericht afwachten, dan kijken wie mij wat gestuurd heeft, en dan mogelijk nog de website van die instantie openen om daar te lezen wat men mij te vertellen heeft. Als dat geen workaround is, dan weet ik het niet meer.
Met het éénmalig installeren van een certificaat bij mijn mail programma kan ik met iedereen waar dan ook ter wereld encrypted mail berichten uitwisselen, vooropgesteld de tegenpartij heeft ook een certificaat geïnstalleerd.
Dit is een voorbeeld van een verdere ontwikkeling van de mail programmatuur, en een ook voorbeeld van een universele oplossing die door iedereen gebruikt kan worden om encrypted mail te versturen, zonder dat daar DigiD-achtige zaken voor opgetuigd hoeven te worden. Het enige dat moet gebeuren is dat alle mail clients opgezet worden om eenvoudig een certificaat te kunnen installeren, zonder dat ze extra addons en PGP moeten installeren.
@Dirk
Een mail sturen is niet het doel!
Het doel is om persoonlijke vertrouwelijke medische informatie te communiceren, waarbij de kans dat het door verkeerde personen gelezen kan worden wordt geminimaliseerd.
In het EPD is er al een koppeling met jouw DigID. Even opbellen om door te geven dat je een ander DigID hebt gaat niet. Iemand kan wel even naar het ziekenhuis bellen, zich voordoen als jou, en zeggen dat hij een ander mailadres heeft.
Vergeet mail voor dit soort zaken, dat is niet veilig genoeg, gebruik iets dat intrinsiek veilig is.
Mail is heel erg geschikt voor onbelangrijke zaken die door iedereen gelezen nogen worden. Zoals de aanbiedingen van de MediaMarkt of de Bijenkorf.
Ik begrijp wat je bedoeld Frank. Maar wat nu als de overheid zelf certificaten gaat uitdelen, die je met DigiD kunt aanvragen? Heus, met een beetje moeite is het goed mogelijk om een sluitend systeem te maken. Mail kan 100% veilig zijn tegenwoordig, als je daarvoor alles in zet wat er al voor ontwikkeld is. Er is qua beveiliging veel meer mogelijk dan dat we inzetten, en dat geldt niet alleen voor mail. Hoelang heeft het niet geduurd voordat we SSL/TSL voor mail servers gingen gebruiken? Waarom moest dat zo lang duren?