Je zou verwachten dat zorgorganisaties en hun medewerkers inmiddels weten dat gevoelige persoonsgegevens niet via gewone mail of chatdiensten mogen worden verstuurd. Maar steeds weer duiken nieuwe voorbeelden op van uiterst gevoelige dossiers die op straat komen. Een afdeling van Bureau Jeugdzorg in Utrecht liet duizenden dossiers in handen vallen van derden omdat medewerkers onversleutelde e-mails naar een verlopen domeinnaam verstuurden, zo meldde RTL Nieuws vorige week. Vorige week werd ook bekend dat onbevoegden toegang tot de e-mailaccounts van medewerkers van het Elkerliek ziekenhuis wisten te krijgen. In die e-mailaccounts stonden persoonsgegevens van patiënten. Het is het topje van een ijsberg, zeggen beveiligingsexperts.
De oplossing lijkt voor de hand te liggen. Alle zorginstellingen zouden gebruik moeten maken van beveiligde e-mail verbindingen. Dat zegt minister Hugo de Jonge in een brief die hij naar aanleiding van de incidenten gisteren naar de Tweede Kamer stuurde.
Hoe veilig is veilig?
Maar wat is beveiligde e-mail? Wanneer kun je e-mail of chatverbindingen met een gerust hart gebruiken om te communiceren met collega’s, patiënten of mantelzorgers? Zorgprofessionals en bestuurders zijn gebonden aan wetgeving die de vertrouwelijkheid van persoonsgegevens moet waarborgen, zoals de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Europese privacywet AVG. Daarnaast bestaan er al langer zogeheten veldnormen waaraan ICT-systemen moeten voldoen, zoals de NEN 7510 norm. Maar ondanks, of misschien door, die wetten en regels was het niet helder wanneer e-mail voldoende veilig is, zo constateerde het ministerie van VWS vorig jaar samen met zorgpartijen. En daarnaast bleken systemen die claimen wel voldoende veilig te zijn onderling niet samen te werken. Daarom startte het zogeheten Informatieberaad Zorg eind vorig jaar een project ‘Veilige Mail’.
Snelkookpan
Het idee was om patiënten, zorgaanbieders, leveranciers, regio-organisaties en deskundigen op het gebied van informatiebeveiliging en wetgeving in een snelkook-traject van enkele maanden te laten werken aan een norm die kristalhelder beschrijft wanneer e-mailcommunicatie veilig is.
Op 10 oktober vorig jaar was de eerste bijeenkomst, en vorige maand heeft de werkgroep de concept norm 7516 ‘Eisen voor veilige e-mail & chatapplicaties’ goedgekeurd voor publicatie. De norm heet officieel NTA: Nederlands Technische Afspraak. De laatste redactionele verbeteringen worden nu verwerkt. De publicatie vindt plaats in mei dit jaar. Vanaf dat moment is er, zoals minister de Jonge deze week naar de Tweede Kamer schrijft, een norm waarop zorgprofessionals en bestuurders kunnen teruggrijpen wanneer ze willen toetsen of ze e-mail veilig gebruiken.
Ad hoc
De NTA 7516 heeft als ondertitel 'uitwisseling van ad hoc berichten met persoonlijke gezondheidsinformatie'. Dit is volgens de norm ‘alle communicatie waarvoor een verzender specifiek voor het geval en de situatie besluit om een bericht te versturen’. De norm gaat dus niet over systemen waarmee zorgprofessionals dossiers bijhouden of binnen hun organisatie communiceren. E-mail of chatdiensten worden vaak gebruikt omdat een patiënt of collega niet bereikbaar is via die interne ICT-systemen. En natuurlijk ook omdat e-mail laagdrempelig is en voor veel mensen sneller en gebruiksvriendelijker werkt dan het inloggen op een beveiligd portaal of het moeten downloaden van een beveiligde app. Begrijpelijk redenen om e-mail te gebruiken, maar daardoor schiet de beveiliging van medische gegevens er veel te vaak bij in, zo leert de praktijk.
Tegelijk neemt de behoefte aan ad hoc communicatie tussen uiteenlopende partijen alleen maar toe, zegt Rick Goud, oprichter en CEO van veilige mailen aanbieder ZIVVER. Hij wijst erop dat de nieuwe norm ook gaat gelden voor gemeenten en verzekeraars. Nu de norm er is, neemt ook de druk op organisaties toe om deze te implementeren, zegt Goud. "Wanneer organisaties in mei volgend jaar compliant moeten zijn, betekent dit dat uiterlijk eind dit jaar overgestapt moet worden naar een werkwijze conform de norm." Goud voorziet dat een hele organisatie meekrijgen ook nog een paar maanden duurt. Dit betekent volgens hem dat voor de zomer of net na de zomer selectietrajecten van leveranciers moeten worden uitgevoerd
Geen technische beschrijving
De norm geeft geen technische beschrijving van systemen om mail of chatberichten te versturen. De essentie van de nieuwe norm is een tabel met criteria (specificaties) voor de beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid en uitwisselbaarheid voor veilig e-mail verkeer. De zorgprofessional, in de praktijk zullen dat koepelorganisaties of ICT-afdelingen zijn, kan aan de hand van de tabel minimale eisen aangeven die hij of zij op elk punt van zijn leverancier verwacht. In veel gevallen volgen die minimumeisen uit bestaande wetgeving, zoals de Europese eIDAS-verordening die beschrijft waaraan veilige inlogmiddelen moeten voldoen.
Wanneer je bijvoorbeeld de garantie wilt hebben dat berichten uitsluitend door de beoogde ontvanger kunnen worden gelezen, dan is een combinatie van gebruikersnaam en wachtwoord niet voldoende. De ontvanger zal zich met zogeheten twee-factormiddelen moeten authenticeren, bijvoorbeeld een SMS-bericht of een app die een schermcode scant. Voor zorgprofessionals, die met beroepsgeheim te maken hebben, zijn zelfs nog sterkere inlogmiddelen nodig om veilig e-mail te versturen.
Vragen
De norm beoogt antwoord te geven op vragen als:
- Hoe zeker weet de ontvanger dat de afzender daadwerkelijk is wie zij/hij zegt dat hij is en dat de afzender inderdaad werkzaam is voor een bepaalde organisatie?
- Hoe weten verzender en ontvanger zeker dat het verstuurde bericht ongeschonden is ontvangen en hoe wordt voorkomen dat gegevens tijdens het transport in onbevoegde handen komen?
- Hoe wordt voorkomen dat een ontvangen bericht wordt gelezen door een onbevoegde?
- Hoe weet de ontvanger zeker dat de afzender gerechtigd was om het ad hoc bericht te versturen?
Het antwoord volgt zoals gezegd in veel gevallen uit bestaande wetten, normen en overeenkomsten, zoals een verwerkersovereenkomst. De NTA 7516 inventariseert en verduidelijkt hoe deze van toepassing zijn op systemen voor veilige e-mail en ander ad hoc berichtenverkeer. Daarnaast geeft de norm aanbevelingen voor criteria die specifiek zijn voor e-mail diensten en dus te algemeen worden beschreven in bestaande wetten en normen. Leveranciers die de vereiste criteria kunnen leveren kunnen dat aan zorgprofessionals en consumenten laten weten door een NTA 7516 certificaat te voeren. Ze moeten zich dan wel door een onafhankelijke partij laten auditen.
Eigen verantwoordelijkheid blijft
Wanneer de norm in mei gepubliceerd wordt, zijn daarmee nog niet alle praktische problemen rond het gebruik van veilige e-mail in de zorg van tafel. De grote winst is dat zorgorganisaties nu kunnen verwijzen naar een door alle partijen gedragen norm wanneer ze rond de tafel zitten met aanbieders als ZIVVER, ZorgMail of andere aanbieders van veilige e-mail. Tot nu toe had elke ICT-aanbieder een eigen interpretatie van wat ‘veilige’ e-mail is. Maar veilig e-mailen heeft ook te maken met cultuur, organisatorische maatregelen en voldoende besef voor cyber-risico’s bij zorgprofessionals en andere medewerkers. De nieuwe norm is hiervoor geen wondermiddel.
Multikanaalcommunicatie?
Een andere hete aardappel die in deze norm nog even is doorgeschoven behelst de samenwerking tussen de diverse aanbieders. Het zou gemakkelijk en gebruiksvriendelijk zijn wanneer de goed beveiligde e-mail van een verzender die met ZIVVER werkt probleemloos in de inbox van een ZorgMail gebruiker terecht komt en vice versa. Een aantal aanbieders van beveiligde e-mail systemen (Google en Microsoft horen daar trouwens niet bij) heeft de intentie uitgesproken om binnen 52 weken na het gereedkomen van de definitieve specificaties onderling veilige mail te kunnen uitwisselen zonder dat gebruikers daar iets voor moeten doen. Daarvoor moeten afspraken worden gemaakt over de manier waarop die aanbieders hun systemen gaan koppelen. Dat is een proces van wheelen, dealen en water bij de wijn doen dat nu in volle gang is.
Zelfs wanneer Nederlandse aanbieders onderling samenwerken, wil dat nog niet zeggen dat de nieuwe norm ook geadopteerd zal worden door Google en Microsoft, die met Gmail en Office365 een groot deel van de particuliere en zakelijke email markt bedienen. Hier speelt de discussie rond zorgdata in de cloud ook nog mee. Maar los van wat Google en Microsoft doen, zou een transparante samenwerking tussen de Nederlandse aanbieders van veilige e-mail oplossingen voor de zorg een flinke stap vooruit zijn voor hun huidige gebruikers.
Te risicovol?
Er zijn ook tegenstanders van het gebruik van e-mail voor medische gegevens. Marc Smits van de Stichting Privacy First stelt dat het technisch mogelijk is e-mail versleutelen en zo bijvoorbeeld te beveiligen tegen een hack van de mail-server (zoals in het Elkerliek ziekenhuis het geval was), of afluisteren onderweg. De nieuwe norm lijkt hier volgens hem niet in te voorzien.
Privacy First vindt de doelstelling van de nieuwe norm, het versturen van patiëntgegevens via e-mail, “opportunistisch en risicovol”. “Medische gegevens dienen niet verstuurd te worden via e-mail”, zegt Smits. “Het is het recht van een patiënt om de regie te voeren over de uitwisseling van gegevens. Door het gebruik van e-mail wordt de patiënt het zicht op de uitwisseling van gegevens ontnomen. Wat de zorg nodig heeft is een decentrale uitwisselingsarchitectuur. E-mail is niet de oplossing.”
Mark de Lange, projectleider van het Veilige Mail project, pleit overigens ook voor gestructureerde gegevensuitwisseling als voorkeursoplossing. Dit is volgens hem echter (nog) niet altijd mogelijk. In die gevallen kan gebruik worden gemaakt van e-mail, mits hierbij wordt voldaan aan de NTA-norm, aldus De Lange.
Helemaal goed, maar kunnen we t ook werkbaar houden? De huidige oplossingen voor secure mail (Zivver gaat, Voltage is een ramp) zijn dusdanig slecht geintegreerd in de documentenflow dat het gebruik daarvan ook gevaren met zich meebrengt zoals onvolledige en onduidelijke communicatie. We ervaren de problemen nagenoeg elke dag. Dus zolang we daadwerkelijk het patientenbelang voorop stellen, zullen de -net als met alles- de balans moeten afwegen tussen de onveiligheid van gewone mail en de onveiligheid van slechte informatieoverdracht.
Misschien kunnen we eens voort maken met de digitale gegevensoverdracht en vanuit de overheid de EPD leveranciers de verplichting opleggen hieraan mee te werken. Dan kan deze informatie overdracht geintegreerd in de klinische workflow in plaats van allerlei workarounds te bedenken. Kwestie van het probleem "bij de bron" aan te pakken, zullen we maar zeggen.
One-size-fits-all beveiligingseisen gaan niet werken in de zorg. Daarvoor zijn de omstandigheden te divers. Bijvoorbeeld bij hulpverlening bij huiselijk moet je serieus rekening houden met een aanval door een huisgenoot, bij het maken van een afspraak met de huisarts speelt dat veel minder snel.
Ook is de metadata op de ene plek een veel groter probleem dan de andere. Het feit dat je contact hebt een verslavingskliniek of een abortuskliniek maakt je al kwetsbaar. Ook als je bijvoorbeeld diabetes hebt, zijn er altijd wel fabrikanten die je spullen willen verkopen. Als dan uit met wie je communiceert te herleiden is dat je diabetes hebt, komt contact met je hulpverlener je dan al snel te staan op een stortvloed van aan je ziekte gerelateerde advertenties. Dat probleem wordt niet afgevangen in de NTA. En als het alleen om communicatie met een algemeen ziekenhuis of bij tussen ziekenhuizen gaat, is dat ook niet nodig.
Het probleem van het aan de verkeerde versturen van mailtjes (datalek nummer 1 in Nederland) is ook geen probleem dat met een generieke eis opgelost kan worden. Hoe voorkom je dat het verkeerde dossier een bericht ingesleept wordt? En hoe operationaliseer je dat in je eisen?
Wat ik tot nu toe gezien heb van de NTA overtuigt me er niet van dat het daadwerkelijk een oplossing gaat bieden voor de beveiligingsproblemen in de zorgcommunicatie. Dat een aantal leveranciers dit zo hard pushen zet te denken.
Wat we wel moeten doen? Op een veel fundamenteler niveau naar het probleem te kijken: we hebben momenteel geen infrastructuur waarmee we veilig kunnen communiceren. Dat probleem achtervolgt de zorg al decennia en dat is geen probleem waar een NTA een quick-fix voor kan bieden.