Kun je veilig e-mailen met patiënten?

E-mail is minder sexy dan virtual reality of slimme pleisters, maar het is wel een handige en volkomen ingeburgerde manier van communicatie. Zorgaanbieders gebruiken e-mail dagelijks om onderling te communiceren, en patiënten geven in onderzoeken zoals de Nictiz eHealth monitor aan dat ze vaker via e-mail of een website een vraag aan hun arts of verpleegkundige zouden willen stellen. Maar de beveiliging van e-mails met medische gegevens is al jaren een mijnenveld voor zorgprofessionals.

Een aanpassing in de Wet bescherming persoonsgegevens (Wbp) legt sinds 1 januari van dit jaar een grotere druk op zorgaanbieders om datalekken te voorkomen door passende maatregelen te nemen. E-mail is praktisch, maar ook een mogelijke bron van datalekken wanneer die maatregelen niet genomen zijn.

Veilig mailen in de zorg?

Een deze week verschenen verkenning over veilig mailen in de zorg gaat in op de vraag hoe zorgaanbieders datalekken kunnen voorkomen en vergelijkt daartoe een aantal aanbieders van veilige e-mail diensten. Volgens Anne Landstra, directeur van het Brabantse Regionaal Zorg Communicatie Centrum (RZCC) , is het voor veel zorgaanbieders onduidelijk hoe ze kunnen voldoen aan de wet- en regelgeving wanneer ze onderling en naar patiënten e-mailen. De RZCC publicatie “Veilig mailen in de zorg” probeert de risico’s in kaart te brengen, en tegelijk inzicht te geven in de verschillen in aanpak van de verschillende aanbieders van veilige e-mail oplossingen.

ZIVVER: new kid on the block

Opvallend is dat de nieuwkomer ZIVVER, een relatief jonge startup van Nederlandse bodem, als meest geschikte keuze uit de bus komt, en daarmee gevestigde partijen als KPN Secure Mail (E-Zorg) en HPE SecureMail verslaat. Goed nieuws voor ZIVVER (die kennelijk houden van caps lock), dat begin deze week direct een persbericht naar aanleiding van het rapport rondstuurde. “Wij zijn honderd procent gefocust op het bieden van maximale privacy bij e-mailen en chatten, zonder dat een professional of een consument ingewikkelde oplossingen moet installeren op je smartphone, je tablet of je computer”, zegt Rick Goud, directeur en mede-oprichter van ZIVVER. Het bedrijf ontving in de afgelopen jaren verschillende aanmoedigings- en innovatie awards, meest recentelijk de Innovatie Challenge van de samenwerkende topklinische ziekenhuizen.

ZorgMail: verschil van inzicht in scope rapport

Minstens zo opvallend als de positie van ZIVVER is het ontbreken van ZorgMail, de communicatieoplossing van VANAD Enovation die in Nederland veruit marktleider is voor het versturen van beveiligde berichten tussen zorgaanbieders (en ook van caps lock houden). Volgens Joke Koops, strategic alliance manager bij VANAD Enovation, konden RZCC en haar bedrijf het niet eens worden over de gekozen aanpak. “De scope van het rapport is beperkt tot een klein deel van onze totaaloplossing. Hoewel wij scoorden op de meeste onderdelen, vonden wij dat het eindoordeel niet gebaseerd was op een reële vergelijking tussen de onderzochte diensten. Het is alsof je auto’s wil vergelijken, en je rapportcijfer alleen op de ruitenwisser baseert.” Landstra van RZCC bevestigt dat er een meningsverschil was over de beoordeling van beschikbare functies, en dat Enovation daarom in onderling overleg niet is opgenomen in de rapportage.

Wat is de zwakste schakel?

Net als de Nictiz-publicatie ‘Veilig omgaan met e-mail in de zorg’ van begin 2015 maakt de verkenning van het RZCC duidelijk dat voor e-mail waarin de privacy van patiënten maximaal gegarandeerd is geen eenvoudig recept bestaat, omdat het om een combinatie van techniek, menselijk gedrag en organisatorische maatregelen gaat. In theorie is het versturen van veilige e-mail tussen twee partijen goed te overzien, maar de praktijk is weerbarstig. Bij e-mail gaat het om een bericht dat via een of meer centrale servers van een pc, tablet of smartphone naar een ander apparaat wordt verstuurd. Een voor de hand liggende eis is dat zo’n bericht op het apparaat zelf, tijdens het transport en op de servers goed beveiligd is tegen afluisteren en inbraak. Om dat te garanderen zijn er allerlei internationale normen ontwikkeld waaraan e-mail aanbieders zich kunnen laten toetsen door onafhankelijke auditors.

Wij lezen uw mail

Maar neem een veelgebruikte dienst als Gmail van Google. Die is technisch gezien waarschijnlijk beter beveiligd dan sommige diensten die zich specifiek op de zorg richten. Voor Google is een inbraak in het datacentrum een ramp, en daarom werken tientallen, zo niet honderden, beveiligingsspecialisten bij Google aan het voorkomen van datalekken. Maar in de privacy-voorwaarden van Google staat: 

Onze geautomatiseerde systemen analyseren uw inhoud (inclusief e-mails) om voor u relevante productfuncties te leveren, zoals aangepaste zoekresultaten, gepersonaliseerde advertenties en spam- en malwaredetectie.

Als privépersoon kun je daar al dan niet bewust akkoord mee gaan, omdat je Gmail een prima gratis e-mail dienst vindt. Maar hoewel de Autoriteit Persoonsgegevens hierover geen expliciete uitspraak heeft gedaan, is het voor zorgaanbieders waarschijnlijk onrechtmatig om patiëntgegevens aan Gmail toe te vertrouwen, hoe goed de beveiliging ook is. Betekent dit dat Amerikaanse clouddiensten niet mogen worden gebruikt? Niet per sé, want een zakelijke e-mail dienst als Office 365 van Microsoft is volgens ICT-juristen niet vanzelf uitgesloten.

Veilige community

Nederlandse diensten als ZorgMail en KPN Secure Mail beloven de gebruikers ervan dat ze niet meekijken in de e-mails. Bovendien ontlenen ze een deel van hun waarde aan het feit dat ze een besloten omgeving vormen. Op deze diensten aangesloten zorgaanbieders krijgen de garantie dat een collega die via deze omgeving bereikbaar is voldoet aan bepaalde minimale criteria, bijvoorbeeld dat de identiteit ervan op een of andere manier is vastgesteld. Dat systeem werkt op zich goed, maar het wordt lastiger wanneer een arts wil communiceren met een collega buiten dit systeem of met een patiënt (die slechts een eigen e-mail account heeft).

KPN, ZorgMail en ook ZIVVER lossen dit probleem deels op door gebruikers buiten hun systeem gasttoegang te geven via een beveiligde cloudverbinding. Zo kunnen ze via een beveiligde webmail omgeving communiceren met hun arts of verpleegkundige. De patiënt krijgt bijvoorbeeld in zijn of haar ‘gewone’ e-mail een link toegestuurd naar het beveiligde bericht en kan die vervolgens openen. Soms wordt in een apart mail nog een extra wachtwoord of een code toegestuurd. Bij ZIVVER kunnen patiënten en cliënten ook zelf een gratis account aanmaken voor hogere gebruiksvriendelijkheid.

Hoe weet je met wie je mailt?

Een lastiger probleem is of je wel werkelijk te maken hebt met een bepaalde patiënt. Want wie zegt dat het e-mail adres jager@voorbeeld.com wel echt van je patiënt Marieke Jager is? Voor hetzelfde geld krijg je een mailtje van mjager@voorbeeld.com met een medische vraag, valt het je niet op dat het adres één letter ander is, en stuur je vertrouwelijke medische data onbedoeld naar een ander persoon.

Een deel van de oplossing is om tijdens een consult aan de patiënt te vragen wat het correcte e-mail adres is waarop je met hem of haar mag communiceren. Een andere extra beveiliging is het gebruik van een zogeheten two-factor authenticatie bij communicatie met patiënten, zoals ZIVVER, maar ook banken en DigiD (optioneel) doen. Naast een online bericht vraag je dan ook nog naar een SMS-code die naar een smartphone is verstuurd. Zonder die code kun je de mail niet ontsleutelen en lezen. Op die manier moet een kwaadwillende ook nog over de telefoon beschikken van degene op wiens gegevens men uit is. ZorgMail biedt deze functie inmiddels ook.

Een landelijk standaard voor je digitale identiteit?

Het zou voor veilige e-mail handig zijn wanneer er een landelijke voorziening was waarmee je als verzender zekerheid zou hebben over de identiteit van de ontvanger, zegt Joke Koops van VANAD Enovation. DigiD doet dat nu deels voor de site www.mijnoverheid.nl, waar je belastingaanslagen en andere berichten staan, zoals APK-herinneringen en berichten van gemeenten. Zo’n landelijke infrastructuur is er nu nog niet, de hoop is dat het nu lopende Idensys project een landelijke systeem voor een betrouwbare digitale identiteit gaat bieden. Niet alleen voor zorg e-mail, maar ook voor banken, webwinkels en andere organisaties.

Het mobieltje of de computer van de zorgverlener of de consument is ook een veiligheidsrisico dat vaak buiten het bereik van de technische e-mail oplossing ligt. Een pc die besmet is met zogeheten malware kan ondanks het gebruik van wachtwoorden en versleuteling toch toegang krijgen tot gevoelige informatie, en in het ergste geval zelfs tot servers waarop een gebruiker is aangesloten. Tegen verloren smartphones die een kopie van alle e-mails bevatten en die niet met een pincode beveiligd zijn helpt beveiliging in een datacentrum niet. Fouten van eigen medewerkers, zoals het verkeerd adresseren van een bericht of een verkeerde bijlage toevoegen, zijn misschien wel een grotere bron van datalekken dan de eerder genoemde externe technische factoren.

Menselijke fouten voorkomen door techniek?

Er is dus een grens aan de veiligheid die technische oplossingen kunnen bieden, wanneer zorgprofessionals en consumenten zich onvoldoende bewust zijn van privacy-risico’s. De menselijke component blijft een achilleshiel, maar volgens RZCC kan technologie wel helpen in de bewustwording van risico’s. E-mail oplossingen kunnen bijvoorbeeld aangeven dat een bericht gevoelige gegevens als een burgerservice nummer bevat, en gebruikers waarschuwen wanneer ze een bericht naar een ongebruikelijk adres willen versturen. ZIVVER scoort op het onderdeel ‘voorkomen van datalekken’ consequent maximaal ten opzichte van andere partijen. Ook hierover is er een verschil van inzicht met Enovation.

Techniek moet helpen bij bewustwording

Volgens Joke Koops kun je eenvoudig een schijnveiligheid creëren door te suggereren dat de techniek menselijke fouten wel zal oplossen. Volgens haar is het verstandiger om veel meer in te zetten op bewustwording bij de gebruikers. Rick Goud van ZIVVER bestrijdt dat niet, maar vindt dat systemen die vooraf waarschuwen bij potentieel onveilig gedrag die bewustwording juist versterkt. “In elke auto zit een veiligheidsgordel om mensen te beschermen; zonder die gordel zouden er veel meer ongelukken gebeuren. Het gaat erom mensen bewust te maken van waarom een gordel, en andere veiligheidsmaatregelen, geen hinder zijn, maar juist dienen ter bescherming.”

“Grotere rol voor regio en samen optrekken”

Anne Landstra geeft aan dat de verkenning niet bedoeld is als een definitief en alomvattend rapport. “Het is een momentopname met een specifieke nadruk op datalekken, omdat we merkten dat zorgaanbieders in onze regio daarmee worstelen. In volgende versies zullen we wellicht ook andere leveranciers zoals Google of Microsoft meenemen, en het rapport aanpassen aan de nieuwe versies van de producten die we nu hebben bekeken. Wat ons betreft zit ook een grote winst in onze conclusie dat een gezamenlijke regionale aanpak tot meer gebruiksgemak, meer veiligheid en lagere kosten kan leiden. We hopen dat we met deze verkenning nuttige informatie aanreiken aan de zorgaanbieders in onze regio, en kennis kunnen delen. Het gebied is zo complex dat individuele zorgaanbieders of organisaties baat hebben bij samenwerking en het wiel niet telkens opnieuw uitvinden.”