E-mail is minder sexy dan virtual reality of slimme pleisters, maar het is wel een handige en volkomen ingeburgerde manier van communicatie. Zorgaanbieders gebruiken e-mail dagelijks om onderling te communiceren, en patiënten geven in onderzoeken zoals de Nictiz eHealth monitor aan dat ze vaker via e-mail of een website een vraag aan hun arts of verpleegkundige zouden willen stellen. Maar de beveiliging van e-mails met medische gegevens is al jaren een mijnenveld voor zorgprofessionals.
Een aanpassing in de Wet bescherming persoonsgegevens (Wbp) legt sinds 1 januari van dit jaar een grotere druk op zorgaanbieders om datalekken te voorkomen door passende maatregelen te nemen. E-mail is praktisch, maar ook een mogelijke bron van datalekken wanneer die maatregelen niet genomen zijn.
Veilig mailen in de zorg?
Een deze week verschenen verkenning over veilig mailen in de zorg gaat in op de vraag hoe zorgaanbieders datalekken kunnen voorkomen en vergelijkt daartoe een aantal aanbieders van veilige e-mail diensten. Volgens Anne Landstra, directeur van het Brabantse Regionaal Zorg Communicatie Centrum (RZCC) , is het voor veel zorgaanbieders onduidelijk hoe ze kunnen voldoen aan de wet- en regelgeving wanneer ze onderling en naar patiënten e-mailen. De RZCC publicatie “Veilig mailen in de zorg” probeert de risico’s in kaart te brengen, en tegelijk inzicht te geven in de verschillen in aanpak van de verschillende aanbieders van veilige e-mail oplossingen.
ZIVVER: new kid on the block
Opvallend is dat de nieuwkomer ZIVVER, een relatief jonge startup van Nederlandse bodem, als meest geschikte keuze uit de bus komt, en daarmee gevestigde partijen als KPN Secure Mail (E-Zorg) en HPE SecureMail verslaat. Goed nieuws voor ZIVVER (die kennelijk houden van caps lock), dat begin deze week direct een persbericht naar aanleiding van het rapport rondstuurde. “Wij zijn honderd procent gefocust op het bieden van maximale privacy bij e-mailen en chatten, zonder dat een professional of een consument ingewikkelde oplossingen moet installeren op je smartphone, je tablet of je computer”, zegt Rick Goud, directeur en mede-oprichter van ZIVVER. Het bedrijf ontving in de afgelopen jaren verschillende aanmoedigings- en innovatie awards, meest recentelijk de Innovatie Challenge van de samenwerkende topklinische ziekenhuizen.

Rick Goud (ZIVVER)
ZorgMail: verschil van inzicht in scope rapport
Minstens zo opvallend als de positie van ZIVVER is het ontbreken van ZorgMail, de communicatieoplossing van VANAD Enovation die in Nederland veruit marktleider is voor het versturen van beveiligde berichten tussen zorgaanbieders (en ook van caps lock houden). Volgens Joke Koops, strategic alliance manager bij VANAD Enovation, konden RZCC en haar bedrijf het niet eens worden over de gekozen aanpak. “De scope van het rapport is beperkt tot een klein deel van onze totaaloplossing. Hoewel wij scoorden op de meeste onderdelen, vonden wij dat het eindoordeel niet gebaseerd was op een reële vergelijking tussen de onderzochte diensten. Het is alsof je auto’s wil vergelijken, en je rapportcijfer alleen op de ruitenwisser baseert.” Landstra van RZCC bevestigt dat er een meningsverschil was over de beoordeling van beschikbare functies, en dat Enovation daarom in onderling overleg niet is opgenomen in de rapportage.

RZCC verkenning: prijzen voor een voorbeeldscenario (zonder regiokorting)
Wat is de zwakste schakel?
Net als de Nictiz-publicatie ‘Veilig omgaan met e-mail in de zorg’ van begin 2015 maakt de verkenning van het RZCC duidelijk dat voor e-mail waarin de privacy van patiënten maximaal gegarandeerd is geen eenvoudig recept bestaat, omdat het om een combinatie van techniek, menselijk gedrag en organisatorische maatregelen gaat. In theorie is het versturen van veilige e-mail tussen twee partijen goed te overzien, maar de praktijk is weerbarstig. Bij e-mail gaat het om een bericht dat via een of meer centrale servers van een pc, tablet of smartphone naar een ander apparaat wordt verstuurd. Een voor de hand liggende eis is dat zo’n bericht op het apparaat zelf, tijdens het transport en op de servers goed beveiligd is tegen afluisteren en inbraak. Om dat te garanderen zijn er allerlei internationale normen ontwikkeld waaraan e-mail aanbieders zich kunnen laten toetsen door onafhankelijke auditors.

Normenkaders zijn er voldoende
Wij lezen uw mail
Maar neem een veelgebruikte dienst als Gmail van Google. Die is technisch gezien waarschijnlijk beter beveiligd dan sommige diensten die zich specifiek op de zorg richten. Voor Google is een inbraak in het datacentrum een ramp, en daarom werken tientallen, zo niet honderden, beveiligingsspecialisten bij Google aan het voorkomen van datalekken. Maar in de privacy-voorwaarden van Google staat:
Onze geautomatiseerde systemen analyseren uw inhoud (inclusief e-mails) om voor u relevante productfuncties te leveren, zoals aangepaste zoekresultaten, gepersonaliseerde advertenties en spam- en malwaredetectie.
Als privépersoon kun je daar al dan niet bewust akkoord mee gaan, omdat je Gmail een prima gratis e-mail dienst vindt. Maar hoewel de Autoriteit Persoonsgegevens hierover geen expliciete uitspraak heeft gedaan, is het voor zorgaanbieders waarschijnlijk onrechtmatig om patiëntgegevens aan Gmail toe te vertrouwen, hoe goed de beveiliging ook is. Betekent dit dat Amerikaanse clouddiensten niet mogen worden gebruikt? Niet per sé, want een zakelijke e-mail dienst als Office 365 van Microsoft is volgens ICT-juristen niet vanzelf uitgesloten.

Wat mogen (buitenlandse) inlichtingendiensten inzien?
Veilige community
Nederlandse diensten als ZorgMail en KPN Secure Mail beloven de gebruikers ervan dat ze niet meekijken in de e-mails. Bovendien ontlenen ze een deel van hun waarde aan het feit dat ze een besloten omgeving vormen. Op deze diensten aangesloten zorgaanbieders krijgen de garantie dat een collega die via deze omgeving bereikbaar is voldoet aan bepaalde minimale criteria, bijvoorbeeld dat de identiteit ervan op een of andere manier is vastgesteld. Dat systeem werkt op zich goed, maar het wordt lastiger wanneer een arts wil communiceren met een collega buiten dit systeem of met een patiënt (die slechts een eigen e-mail account heeft).
KPN, ZorgMail en ook ZIVVER lossen dit probleem deels op door gebruikers buiten hun systeem gasttoegang te geven via een beveiligde cloudverbinding. Zo kunnen ze via een beveiligde webmail omgeving communiceren met hun arts of verpleegkundige. De patiënt krijgt bijvoorbeeld in zijn of haar ‘gewone’ e-mail een link toegestuurd naar het beveiligde bericht en kan die vervolgens openen. Soms wordt in een apart mail nog een extra wachtwoord of een code toegestuurd. Bij ZIVVER kunnen patiënten en cliënten ook zelf een gratis account aanmaken voor hogere gebruiksvriendelijkheid.
Hoe weet je met wie je mailt?
Een lastiger probleem is of je wel werkelijk te maken hebt met een bepaalde patiënt. Want wie zegt dat het e-mail adres jager@voorbeeld.com wel echt van je patiënt Marieke Jager is? Voor hetzelfde geld krijg je een mailtje van mjager@voorbeeld.com met een medische vraag, valt het je niet op dat het adres één letter ander is, en stuur je vertrouwelijke medische data onbedoeld naar een ander persoon.

Een SMS op je smartphone als tweede controle op je identiteit
Een deel van de oplossing is om tijdens een consult aan de patiënt te vragen wat het correcte e-mail adres is waarop je met hem of haar mag communiceren. Een andere extra beveiliging is het gebruik van een zogeheten two-factor authenticatie bij communicatie met patiënten, zoals ZIVVER, maar ook banken en DigiD (optioneel) doen. Naast een online bericht vraag je dan ook nog naar een SMS-code die naar een smartphone is verstuurd. Zonder die code kun je de mail niet ontsleutelen en lezen. Op die manier moet een kwaadwillende ook nog over de telefoon beschikken van degene op wiens gegevens men uit is. ZorgMail biedt deze functie inmiddels ook.
Een landelijk standaard voor je digitale identiteit?
Het zou voor veilige e-mail handig zijn wanneer er een landelijke voorziening was waarmee je als verzender zekerheid zou hebben over de identiteit van de ontvanger, zegt Joke Koops van VANAD Enovation. DigiD doet dat nu deels voor de site www.mijnoverheid.nl, waar je belastingaanslagen en andere berichten staan, zoals APK-herinneringen en berichten van gemeenten. Zo’n landelijke infrastructuur is er nu nog niet, de hoop is dat het nu lopende Idensys project een landelijke systeem voor een betrouwbare digitale identiteit gaat bieden. Niet alleen voor zorg e-mail, maar ook voor banken, webwinkels en andere organisaties.

Landelijke infrastructuur voor digitale diensten
Het mobieltje of de computer van de zorgverlener of de consument is ook een veiligheidsrisico dat vaak buiten het bereik van de technische e-mail oplossing ligt. Een pc die besmet is met zogeheten malware kan ondanks het gebruik van wachtwoorden en versleuteling toch toegang krijgen tot gevoelige informatie, en in het ergste geval zelfs tot servers waarop een gebruiker is aangesloten. Tegen verloren smartphones die een kopie van alle e-mails bevatten en die niet met een pincode beveiligd zijn helpt beveiliging in een datacentrum niet. Fouten van eigen medewerkers, zoals het verkeerd adresseren van een bericht of een verkeerde bijlage toevoegen, zijn misschien wel een grotere bron van datalekken dan de eerder genoemde externe technische factoren.
Menselijke fouten voorkomen door techniek?
Er is dus een grens aan de veiligheid die technische oplossingen kunnen bieden, wanneer zorgprofessionals en consumenten zich onvoldoende bewust zijn van privacy-risico’s. De menselijke component blijft een achilleshiel, maar volgens RZCC kan technologie wel helpen in de bewustwording van risico’s. E-mail oplossingen kunnen bijvoorbeeld aangeven dat een bericht gevoelige gegevens als een burgerservice nummer bevat, en gebruikers waarschuwen wanneer ze een bericht naar een ongebruikelijk adres willen versturen. ZIVVER scoort op het onderdeel ‘voorkomen van datalekken’ consequent maximaal ten opzichte van andere partijen. Ook hierover is er een verschil van inzicht met Enovation.

Zorgverleners kunnen mailen in een besloten groep, bijvoorbeeld in regio (Foto: Jeroen Bosch Ziekenhuis)
Techniek moet helpen bij bewustwording
Volgens Joke Koops kun je eenvoudig een schijnveiligheid creëren door te suggereren dat de techniek menselijke fouten wel zal oplossen. Volgens haar is het verstandiger om veel meer in te zetten op bewustwording bij de gebruikers. Rick Goud van ZIVVER bestrijdt dat niet, maar vindt dat systemen die vooraf waarschuwen bij potentieel onveilig gedrag die bewustwording juist versterkt. “In elke auto zit een veiligheidsgordel om mensen te beschermen; zonder die gordel zouden er veel meer ongelukken gebeuren. Het gaat erom mensen bewust te maken van waarom een gordel, en andere veiligheidsmaatregelen, geen hinder zijn, maar juist dienen ter bescherming.”
"Grotere rol voor regio en samen optrekken"
Anne Landstra geeft aan dat de verkenning niet bedoeld is als een definitief en alomvattend rapport. “Het is een momentopname met een specifieke nadruk op datalekken, omdat we merkten dat zorgaanbieders in onze regio daarmee worstelen. In volgende versies zullen we wellicht ook andere leveranciers zoals Google of Microsoft meenemen, en het rapport aanpassen aan de nieuwe versies van de producten die we nu hebben bekeken. Wat ons betreft zit ook een grote winst in onze conclusie dat een gezamenlijke regionale aanpak tot meer gebruiksgemak, meer veiligheid en lagere kosten kan leiden. We hopen dat we met deze verkenning nuttige informatie aanreiken aan de zorgaanbieders in onze regio, en kennis kunnen delen. Het gebied is zo complex dat individuele zorgaanbieders of organisaties baat hebben bij samenwerking en het wiel niet telkens opnieuw uitvinden.”
Provocatie....De praktijk van deze beveiligde mailsystemen zal zijn dat veel patiënten er niet aan beginnen: te ingewikkeld en/of te omslachtig, weer een gebruikersnaam/wachtwoord. Dat is natuurlijk ook goed voor de privacy...maar niet voor de toegankelijkheid en efficiency van de zorg. Wellicht is het goed om nog eens goed na te denken over wat privacy is, wat de bedreigingen zijn en daarbij een goede schifting maken tussen de materiële risico's en de meer academische. In het 'normale' bedrijfsleven zoek met ook naar een evenwicht tussen veilig en praktisch, en kiest men ervoor om 'gewone' communicatie-media te gebruiken voor dat wat niet top-secret is. Misschien moeten we de keuze voor 'gewone' e-mail aan de patiënt laten, waarbij de arts overweegt of voor betreffende boodschap e-mail het juist medium is. Of nemen we patiënt en arts niet serieus en luisteren we alleen naar activisten, academici en partijen met zakelijke belangen. Voor arts-arts communicatie ligt het wat anders, wat mij betreft.
Ik ben het helemaal met je eens dat de praktijk van dit soort systemen
te omslachtig is. Ook ben ik het helemaal met je eens dat we eens goed
moeten nadenken over wat privacy nu eigenlijk is: de huidige
neo-liberale opvatting over privacy is in de praktijk volstrekt
onwerkbaar, we moeten naar 'positieve privacy' toe, een benadering waar
vanuit verschillende hoeken aan gewerkt wordt. Hoe mensen in de praktijk
reageren als ze met systemen geconfronteerd worden die vanuit een
positief privacy paradigma gebouwd zijn, moet nog blijken, maar het kan
heel goed zijn dat ze juist veel alerter worden op wat ze waar delen.
Niet
dat ik de indruk heb dat je die kant op wil, maar de suggestie dat we
de normen moeten laten zakken omdat we niet in staat zijn gebleken om
een gebruikersvriendelijk en veilig systeem te maken om berichten uit te
wisselen, is omgekeerde wereld. Het is vooral reden voor ons als
technici om ons heel erg hard te gaan zitten schamen.
Ik kan begrijpen dat je mijn suggestie ziet als 'de normen laten zakken'. Maar dat is niet wat ik bedoel. Ik denk dat we moeten beginnen met de normen zelf. Zijn die niet te absoluut. Het gaat veelal over privacy, en dat die bedreigd wordt, zonder aandacht voor wat die bedreigingen dan zijn, hoe realistisch en hoe waarschijnlijk deze zijn, wat de mogelijke gevolgen zijn. Als je links hebt naar dergelijke analyses, dan zou ik die graag zien - ik hoop echt dat je wat kan sturen. Uit zo'n dreigingsbeeld is het wellicht mogelijk om een match te maken tussen het type informatie dat uitgewisseld wordt, en de het beveiligingsniveau dat daar bij past. Waarbij in het geval van medische informatie andere factoren mee kunnen spelen die bepalen of bijvoorbeeld e-mail wel zo'n goed middel is: een pijnlijke diagnose breng je face-to-face.
In mijn visie zou het mogelijk moeten zijn om bepaalde informatie, bijvoorbeeld simpele vragen over niet al te ernstige zaken en adviezen hierover, per e-mail uit te wisselen. Ook een afspraak voor een consult zou moeten kunnen.
Ik vraag/suggereer dat daarbij de patient ook een rol speelt. Die kan kiezen voor e-mail, vanwege gemak en bekendheid ermee, dan wel vanwege onbekendheid met andere mogelijkheden. Artsen kunnen op basis van de inhoud van de conversatie besluiten om over te stappen op een ander medium, bijvoorbeeld even bellen of aanraden om een afspraak te maken, of een video-consult. Enige voorlichting over wat daarbij wijsheid is, is aan te bevelen - zelfs los van de medische context.
Beveiligde e-mail oplossingen hebben een plaats, maar mijns inziens meer in de uitwisseling tussen medische professionals. De inhoud is vaak gevoelig, en de mogelijke directe en indirecte gevolgen van b.v. phishing zijn groter, b.v. massale disclosure van patient gegevens. Ook mag je van professionals verlangen dat ze zich de technische oplossingen eigen maken en goed gebruiken (behalve als je Minister Kamp heet....).
Als 'positieve privacy' leidt tot systemen die de plaats van e-mail overnemen - ik bedoel de e-mail die jij en ik gebruiken - dan ben ik er natuurlijk voor. Zolang positieve privacy leidt to niche oplossingen die ik alleen in mijn communicatie met mijn dokter kan gebruiken, houd ik mijn twijfels over de adoptiegraad.
Samengevat: genuanceerde normen, en eigen verantwoordelijk van patient en arts.
Beste Erik,
Je benadert privacy vanuit het neo-liberale paradigma. Het spanningsveld dat jij beschrijft is het uitgangspunt van dat paradigma en is daardoor niet binnen dat paradigma op te lossen.
'Positieve privacy' kan het probleem dat jij schetst ook niet oplossen. Wat het wel doet is er een heel ander paradigma tegenover stellen, waardoor het belang van privacy op een andere manier begrepen wordt. Daarmee verandert ook welke functie privacy in het algemeen heeft en is ook de probleemstelling die jij schetst:niet meer relevant: het gaat dan niet meer om hoe privacy de zorg belemmert, maar om hoe privacy kan helpen om de zorg te verbeteren. Twee lezenswaardige stukken over "positieve privacy" zijn:
"Politieke perspectieven op privacy" door Laurine Blink
http://www.uvh.nl/uvh.nl/up/ZspbmmjJgI_Paper-SRC-LaurineBlonk.pdf
en:
"What Privacy Is For" door Julie E. Cohen
http://cdn.harvardlawreview.org/wp-content/uploads/pdfs/vol126_cohen.pdf
Als je meer wilt weten over een project in de GGZ waar ik deze uitgangspunten hanteer, stuur me dan even een direct bericht.