Het aantal datalekken in de zorg ligt volgens de cijfers van de Autoriteit Persoonsgegevens hoog. Veel lekken ontstaan bij het uitwisselen van informatie per e-mail. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) is daarom het project Veilige Mail gestart, waarbij NEN is ingeschakeld om samen met de markt tot een Nederlands Technische Afspraak (NTA) te komen. NTA 7516, die in mei wordt gepubliceerd, biedt duidelijkheid over waaraan veilige e-mail voldoet.
De primaire criteria die VWS hanteert, zijn evident. Het versturen van e-mail moet veilig zijn én gebruiksvriendelijk. Standaard-e-mail voldoet alleen aan de tweede voorwaarde: het heeft geen ingebakken beveiliging. Wat er vandaag de dag al regelmatig gebeurt, is dat er generieke beveiliging wordt toegepast met technieken als S/Mime, PGP of domeinfederatie. Deze hebben een positieve invloed op het beveiligingsniveau van e-mail, maar beïnvloeden de gebruiksvriendelijkheid nadelig. Zo zijn er extra handelingen nodig om e-mails te versturen en ontvangen, of zijn er beperkingen in met wie je kunt mailen.
De NTA-standaard voor veilig mailen in de zorg is aanstaande en vereist dat e-mail beveiligd wordt op persoonlijk niveau door middel van tweefactor-authenticatie (combinatie van iets dat je weet en iets dat je hebt). Dit kan bijvoorbeeld een link zijn, die de ontvanger in staat stelt bij het e-mailbericht te komen in combinatie met een wachtwoord dat apart met de ontvanger gedeeld wordt.
Een ander belangrijk punt is dat de systemen voor veilige e-mailcommunicatie interoperabel moeten zijn. Een arts wil tenslotte niet tussen zes verschillende oplossingen moeten schakelen. Dat kan een uitdaging worden, er zijn tenslotte meerdere manieren om e-mails te versleutelen.
Goedgekeurd
Zoals aangegeven, kunnen zorginstellingen op basis van de NTA 7516 gecertificeerd worden. Er komt een ‘NTA-goedgekeurd’-stempel. Dit borgt in elk geval dat de instelling veilig kan communiceren met een andere partij die het certificaat ook heeft. De uitdaging is dat je ook moet communiceren met partijen die níét NTA-approved zijn. Denk aan patiënten met een Gmail-account, iemand buiten het zorgdomein zoals een gemeente, of een specialist in het buitenland. Een veel voorkomende manier om dit probleem te omzeilen, is de portal, ook wel het digitale loket. Hoewel deze manier van communicatie de veiligheid ten goede komt, gaat ze voorbij aan het aspect gebruiksgemak. Ze nodigt uit om andere middelen in te zetten dan de portal die door de zorginstelling worden aangeboden; middelen die extra risico’s opleveren voor het veilig versturen en ontvangen van e-mail. Deze leveren wat mij betreft dan ook geen bijdrage aan veilig e-mailen in de zorg en zeker ook niet aan het gebruiksgemak.
Om het doel te behalen dat VWS, NEN en de markt zich met de NTA 7516 gesteld hebben, moet de gebruikte oplossing ad-hoc-e-mailcommunicatie faciliteren. Dat houdt in dat het aantal handelingen dat nodig is om een bericht te voorzien van tweefactor-autenticatie en te ontsleutelen, geminimaliseerd moet worden. Er zijn al technieken op de markt, waarbij je slechts één keer een wachtwoord hoeft te delen om vervolgens een veilig lijntje op te zetten met de betreffende persoon. Bij alle communicatie daarna gebeurt de beveiliging op de achtergrond; de gebruiker merkt er dan verder niets meer van. En zo zou het moeten zijn.
