Voordat een mailbericht het ziekenhuis mag verlaten, zijn er tal van groene vinkjes gezet. Daar weet Ziekenhuis Gelderse Vallei in Ede alles van. De zorginstelling mailt sinds september AVG-proof, met dank aan de technologie van Zivver, een Amsterdamse leverancier van versleutelde mailoplossingen.
Mailen met Zivver levert een handvol voordelen op. Bijvoorbeeld veiligheid. Zo moeten zorgverleners voldoen aan de norm voor veilige communicatie van gezondheidsinformatie (de zogenoemde NTA 7516). Ten tweede gemak, omdat met Zivver rechtstreeks is te mailen vanuit Outlook. Uitwijken naar offline-communicatie of afzonderlijke portalen is niet meer nodig. Daarnaast kleeft aan het mailen volgens genoemde norm nog een voordeel, te weten interoperabiliteit. Dit betekent dat e-mails rechtstreeks zijn af te leveren in de mailbox van de ontvanger, zonder uitvoer van de aanvullende ontvangerscontrole.
Omgekeerd kunnen zorgverleners mail direct in de mailbox ontvangen, zonder in te hoeven loggen in portalen of aanvullende authenticatie toe te passen. Dit geldt overigens alleen als beide organisaties voldoen aan de NTA 7516. Ontbreekt die voorwaarde, volgt een twee-staps-authenticatie.
Speciale mailmodule
Met een speciale mailmodule binnen Zivver kunnen afspraakherinneringen, -bevestigingen en uitslagen gemaild worden vanuit andere applicaties (zoals het epd), waarmee het ziekenhuis bespaart op portokosten. Met Zivver kunnen ook grote bestanden worden meegestuurd als bijlage (tot 5TB). Voor patiënten wordt de zorg tot slot ook een veiliger, bijvoorbeeld wanneer ze in het buitenland verblijven en in een ziekenhuis terechtkomen. Het dossier kan namelijk veilig naar buitenlandse zorgverleners worden gestuurd. Ook wordt de kans op een datalek kleiner.
De implementatie startte op 15 januari van dit jaar met een intakegesprek, gevolgd door een kick-off op 12 februari. Op 19 maart werd de technische inrichting afgerond. In verband met de coronacrisis heeft Ziekenhuis Gelderse Vallei na de technische livegang de tijd genomen om de juiste uitrolstrategie te bepalen voor deze situatie. Na een pilotfase is sinds 22 september 2020 uiteindelijk het gehele ziekenhuis live en aan de slag met Zivver.
Elibart Gerritsen, ciso bij Ziekenhuis Gelderse Vallei
Gerritsen was de aanjager van de implementatie van Zivver binnen Ziekenhuis Gelderse Vallei. ‘Als ciso ben ik aangesloten bij de Nederlandse Vereniging van Ziekenhuizen (NVZ). Daarbinnen hebben we een security-werkgroep waar alle ziekenhuis-ciso’s bij elkaar komen. We spreken daar over de ontwikkelingen en de NTA-norm kwam ook voorbij.’ ‘Om een en ander te realiseren, zocht Gerritsen contact met de vorige ‘veilig mailen’-leverancier KPN. Die gaf aan dat ze niet op de korte termijn aan de norm gaan voldoen en stelde Zivver voor. ‘Vervolgens zijn we een marktonderzoek gestart met drie verschillende partijen. In ons pakket van eisen stonden vooral gebruiksvriendelijkheid en een goede prijs- kwaliteitverhouding centraal.’ Uiteindelijk kwam Zivver als beste uit de selectie, want het was volgens Gerritsen het beste product en niet het duurste.
‘Vervolgens heb ik de implementatie overgedragen aan Ronald Swaen. In eerste instantie werd er een pilot gedraaid op de ict-afdeling, vervolgens naar enkele pilot-afdelingen; te weten de dialyse-afdeling en het secretariaat.’ Belangrijkste reden voor deze twee partijen was het feit dat Swaen mensen van deze afdeling al goed kende uit andere implementatietrajecten. Uiteindelijk is eind september volledig ziekenhuisbreed opgeschaald. Een technische rol die Gerritsen binnen het project vervulde was om de tweedefactorauthenticatie wanneer patiënten mail ontvingen, te realiseren. ‘We hebben zelf de voorkeur dat de patiënten hiervoor een code ontvangen op hun 06-nummer. Wanneer er geen mobiel nummer bekend is, kunnen patiënten hun patiëntnummer gebruiken. We hebben deze data vanuit het ziekenhuisinformatiesysteem geïmporteerd in Zivver. Toen dit eenmaal liep, heb ik het overgedragen aan systeembeheerder Pieter Bunschoten.’
Belangrijkste taak voor Gerritsen is nu nog het controleren of gebruikers zich aan de afspraken houden. Dit gebeurt via het checken van de logging-gegevens. ‘Als medewerkers zich niet aan de mailregels houden, moet ik ze hierop aanspreken. Ik doe dit vooral door aan te geven dat veilig mailen ook zorgverlening is.’
Terugkijkend is de ciso het meest trots op de voortrekkersrol van de Gelderse Vallei. Tegelijkertijd wil hij een oproep doen aan zijn mede-ciso’s. ‘Maak er werk van, het is belangrijk om als ziekenhuis bij te dragen aan de privacy van patiënten.’ Gerritsen vermoedt wel dat bij heel veel zorginstellingen de aandacht nu volledig naar corona gaat. ‘Bij ons was de implementatie net voor de tweede golf afgerond, deze gaat bij veel ziekenhuizen wel roet in het eten gooien vermoed ik.’
Jeroen Kolen, senior projectleider Zivver
De grootste uitdaging voor Kolen tijdens de implementatie was vanzelfsprekend corona. ‘Zo’n crisis heeft twee kanten. De meest belangrijke is de impact op de organisatie, zeker zoals in dit geval op een ziekenhuis. Ze staan immers aan het front van de crisis.’ Uiteindelijk werd bij Ziekenhuis Gelderse Vallei in verband met de pandemie gekozen voor een hybride training. De superusers (dit zijn medewerkers die als aanspreekpunt dienen voor een gehele afdeling en om die reden een training volgen) en de helpdeskmedewerkers kregen een training op locatie. Deze werd opgenomen waarna andere gebruikers de workshop terug konden kijken. De coronacrisis betekende voor Zivver zelf ook een verdieping van de al gebruikte online middelen. ‘We hebben bijvoorbeeld een robuuster adoptie-plan ontwikkeld, zo hebben we extra gebruikersgidsen opgesteld en bieden we nog meer diversiteit aan wat betreft trainingsmiddelen. Voorbeelden hiervan zijn bijvoorbeeld video’s die in lengte variëren en een communicatieplan voor organisaties om te publiceren op het intranet. Ervaring hiervoor deden we op bij onder meer de gemeente Uden en Venturion Health & Care.’
Een belangrijk onderdeel was voor Jeroen de samenwerking met ciso Elibart Gerritsen. Samen hebben ze zich gestort op de gehele dienstverlening rondom het voldoen aan de NEN-richtlijn (de NTA 7516). ‘Naast dat we Zivver aanbieden, hebben we ook dienstverlening rond de NTA 7516. Met Zivver voldoe je als zorginstelling weliswaar aan alle eisen waarbij een leverancier een rol kan spelen, de overige pakweg 30 procent moet de organisatie zelf doen. Via de zelfontwikkelde NTA 7516 ‘Readiness Toolkit’ biedt Zivver specifiek handvatten bij het ontwerpen, inrichten en verankeren van NTA 7516-compliance binnen organisaties. Het gaat hierbij onder andere om beleidstukken waarbij je moet beschrijven in welke situaties er gebruikgemaakt mag worden van autoreply, of en onder welke voorwaarden mails mogen worden doorgestuurd, het toepassen van gedegen werkplekbeveiliging, et cetera.’
Terugkijkend is Kolen tevreden. Vooral te spreken is hij over het feit dat Zivver niet als it-project werd gezien, maar echt vanuit de operatie. ‘Elibart was hier ook erg bij betrokken en heeft alle scenario’s goed in kaart gebracht.’ Ook prijst de projectmanager de voortrekkersrol van de Gelderse Vallei onder leiding van de ciso wat betreft de NTA-norm. ‘Hiermee helpen ze ons en de omliggende partijen. Als alle andere zorginstellingen namelijk ook aan de eisen gaan voldoen, kom je tot daadwerkelijke interoperabiliteit, waar de zorgsector al tijden naar streeft.’
Ronald Swaen, senior projectleider Ziekenhuis Gelderse Vallei
Ronald Swaen was als projectleider vanaf de eerste kennismaking betrokken bij de implementatie van Zivver. ‘Ziekenhuis Gelderse Vallei werkte al jaren met KPN Secure Mail. Op advies van KPN is er gekozen om de bestaande oplossing te vervangen voor Zivver. Gelderse Vallei heeft voor Zivver gekozen om aan de NTA 7516 te voldoen. Daarnaast vinden wij informatiebeveiliging zeer belangrijk. Zivver helpt het ziekenhuis om datalekken door menselijke fouten te voorkomen en geeft controle over de informatiestromen.’
Swaen was met name verantwoordelijk voor het implementatietraject, waaronder de testen, het verwerken van de resultaten, de samenwerking met Jeroen Kolen van Zivver en het plannen en uitvoeren van alle andere acties waaronder de planning van de trainingen en de livegang. ‘Zivver levert veel sjablonen, lessons learned en best practices aan voor de goede uitvoer van het project en ten behoeve van de interne en externe communicatie. Zo hebben we goed gecommuniceerd via intranet met onder meer de door Zivver aangeleverde links naar YouTube-tutorials waarom het ziekenhuis nu naar een nog veiligere manier van mailen gaan. Ook hebben we contact gehad met het Isala ziekenhuis in Zwolle dat al met Zivver gestart was. Gebruikers zien in Outlook ook daadwerkelijk wat gebeuren wanneer er vertrouwelijke informatie in het mailbericht opgenomen wordt, dus dit werkt goed.’ Voordeel hierbij is volgens de projectleider dat tweestapsverificatie bij veel gebruikers ingeburgerd is, dus dit aspect van de Zivver-oplossing moest niet verder worden toegelicht.
De implementatie verliep goed, al vindt Swaen wel dat één en ander sneller had gekund. ‘Vanwege de eerste coronagolf kregen andere it-projecten voorrang, dus het was nu eenmaal niet anders. Hierdoor zijn we pas in september in plaats van in januari/februari van start gegaan.’ Hierdoor werden de eindgebruikers volgens hem in deze onrustige en drukke periode ook niet geconfronteerd met deze andere manier van werken.
Terugkijkend is Swaen te spreken over het gehele proces. ‘Ik heb een goed gevoel over hoe alles verlopen is, ook in de samenwerking met Zivver, onze ciso Elibart Gerritsen, systeembeheerders Pieter Bunschoten en Salim Tirgil, Joan van Dijk van de afdeling communicatie en andere belangrijke spelers tijdens dit project. Ieder had een cruciale rol wat uiteindelijk een vlekkeloze acceptatie in de productieomgeving gegeven heeft.’
Pieter Bunschoten, systeembeheerder bij Ziekenhuis Gelderse Vallei
Pieter Bunschoten stapte twee weken voor de livegang in bij het project. Hij was direct te spreken over de toepassing. ‘Het beheerportaal zag er gelikt uit, rechttoe, rechtaan. Met een beetje klikken kwam je er wel uit en zag ik hoe een en ander in elkaar stak.’ Bunschoten pakte nog wat kleine problemen op zoals gebruikers die nog geen account hadden of gezamenlijke mailboxen die nog moesten worden aangemaakt. Om dit laatste te realiseren werd een PowerShell-expert ingeschakeld die een script maakte waarmee de openbare mappen (meer dan honderd groepsmailboxen) binnen Zivver werden aangemaakt, en waarmee de juiste medewerkers hier toegang tot hebben.
Voorafgaand aan de livegang werd er een bestand geüpload ten behoeve van de tweefactorauthenticatie waarmee patiënten de Zivver-mail kunnen openen. Ook dit proces verliep vrijwel vlekkeloos. Na de livegang waren er enkele gebruikers die nog de verkeerde werkwijze volgden, namelijk wanneer ze Zivver gebruikten om intern te mailen. Het (veilig) mailen gebeurt ‘gewoon’ via Outlook. Wanneer de inhoud van het bericht vertrouwelijke informatie bevat signaleert Zivver dit en activeert het veilig mailen of geeft een vraag of de gebruiker dit wil activeren. Voor interne mail hoeft Zivver echter niet geactiveerd te worden. ‘Echter als ziekenhuismedewerkers met Zivver geactiveerd naar onze helpdesk mailen, wordt dit bericht automatisch binnen Topdesk (een tool waarmee telefoontjes naar de helpdesk worden geregistreerd) opgenomen en is dan niet te openen. De helpdeskmedewerker kan dit bericht dan wel in de Outlook-openbare map lezen, maar dus niet binnen Topdesk. Door extra instructie richting de gebruikers komt dit inmiddels niet meer voor.’
Terugkijkend is de succesvolle livegang volgens Bunschoten vooral te danken aan de gedegen voorbereiding, goede testen en communicatie en de samenwerking met leverancier Zivver. Vlak voor de livegang zijn de frontofficemedewerkers en enkele medewerkers van het patiëntenservicebureau getraind door projectleider Jeroen Kolen van Zivver. Bij het servicebureau worden de telefoontjes ontvangen van patiënten met vragen met betrekking poliklinische bezoeken, afspraken maken en andere vragen rond communicatie. De systeembeheerder volgde zelf een beheerders-webinar. ‘Ik ben ook bij de training voor de frontofficemedewerkers geweest en die was erg goed. Zo ging het niet alleen over de oplossing zelf en de problemen die kunnen ontstaan, maar de trainer gaf ook uitleg over de noodzaak van veilig mailen en wat Zivver allemaal kan. Dat de frontofficemedewerkers een eigen training kregen vind ik erg positief. Normaal krijgen ze informatie via systeembeheerders, wat minder uitgebreid is dan een eigen training.’
Bunschoten geeft tot slot aan dat het ‘nieuwe mailen’ uiteraard wel even wennen is bij iedereen, maar dat dit door de gebruiksvriendelijkheid snel zal verlopen en dat Zivver goed integreert binnen de bestaande mailprocessen.
Dit artikel staat ook in Computable-magazine #01/2021.